SheepNav
新上线今天0 投票

二维码可能是陷阱?识别“quishing”骗局,别让它在最后一刻得逞

二维码诈骗:当心“quishing”悄然来袭

提到网络钓鱼,我们通常会想到那些声称有远方亲戚留下遗产、或警告账号即将被冻结的老套邮件。但攻击手法正在进化:二维码(QR code)正成为黑客绕过多重身份验证(MFA)、窃取数据的新武器。这种被称为 “quishing”(QR code phishing) 的骗局,正通过嵌入恶意链接的二维码,轻松突破传统安全防线。

攻击手法:伪装与紧迫感

quishing 的核心套路与普通钓鱼并无二致——利用紧迫感、贪婪或恐惧诱骗受害者扫描二维码。常见的伪装包括:银行发来的虚假通知、中奖喜报、或社交平台的安全警告。一旦你掏出手机扫描,点击链接后便会跳转到精心伪造的登录页面,输入的任何信息(包括 MFA 验证码)都将直接落入攻击者手中

根据 Hoxhunt 发布的《2026 年钓鱼趋势报告》,基本的邮件内嵌二维码攻击正在减少,但以恶意附件形式(如 PDF 中的二维码)传播的案例却重新抬头。这类附件能绕过邮件安全网关的扫描,因为二维码本身并非可执行代码,直到用户用手机扫码时才触发风险。

为何防不胜防?

二维码钓鱼之所以危险,在于它天然绕过了许多安全机制

  • 邮件过滤器难以识别图片中的二维码链接。
  • 手机与办公网络隔离,扫码后往往在个人设备上操作,缺乏企业级防护。
  • MFA 反而成为帮凶——用户以为在验证身份,实则将一次性密码拱手送人。

如何自保?

  1. 怀疑一切:对邮件或附件中的二维码保持警惕,尤其是来源不明或制造紧迫感的内容。
  2. 手动输入网址:若需访问某个服务,直接在浏览器输入官方地址,而非扫描二维码。
  3. 检查域名:扫码后仔细核对 URL,注意细微拼写差异(如“go0gle.com”)。
  4. 使用安全应用:部分二维码扫描器会预检链接,识别已知恶意域名。
  5. 启用硬件安全密钥:相比短信或 App 验证码,物理密钥更难被钓鱼。

小结

quishing 并非全新攻击,但它利用人们对二维码的信任惯性,悄然翻新了钓鱼的形态。随着移动办公和扫码支付的普及,这类骗局只会更加隐蔽。记住:任何要求你扫码并输入敏感信息的消息,都值得多留一个心眼

延伸阅读

  1. Hermes 智能体开发商 Nous Research 正洽谈融资,估值达 15 亿美元
  2. Claude 就像 Mr. Meeseeks:一个有趣的比喻背后
  3. Siri AI 正成为苹果的全能工具
查看原文