新上线今天0 投票
二维码可能是陷阱?识别“quishing”骗局,别让它在最后一刻得逞
二维码诈骗:当心“quishing”悄然来袭
提到网络钓鱼,我们通常会想到那些声称有远方亲戚留下遗产、或警告账号即将被冻结的老套邮件。但攻击手法正在进化:二维码(QR code)正成为黑客绕过多重身份验证(MFA)、窃取数据的新武器。这种被称为 “quishing”(QR code phishing) 的骗局,正通过嵌入恶意链接的二维码,轻松突破传统安全防线。
攻击手法:伪装与紧迫感
quishing 的核心套路与普通钓鱼并无二致——利用紧迫感、贪婪或恐惧诱骗受害者扫描二维码。常见的伪装包括:银行发来的虚假通知、中奖喜报、或社交平台的安全警告。一旦你掏出手机扫描,点击链接后便会跳转到精心伪造的登录页面,输入的任何信息(包括 MFA 验证码)都将直接落入攻击者手中。
根据 Hoxhunt 发布的《2026 年钓鱼趋势报告》,基本的邮件内嵌二维码攻击正在减少,但以恶意附件形式(如 PDF 中的二维码)传播的案例却重新抬头。这类附件能绕过邮件安全网关的扫描,因为二维码本身并非可执行代码,直到用户用手机扫码时才触发风险。
为何防不胜防?
二维码钓鱼之所以危险,在于它天然绕过了许多安全机制:
- 邮件过滤器难以识别图片中的二维码链接。
- 手机与办公网络隔离,扫码后往往在个人设备上操作,缺乏企业级防护。
- MFA 反而成为帮凶——用户以为在验证身份,实则将一次性密码拱手送人。
如何自保?
- 怀疑一切:对邮件或附件中的二维码保持警惕,尤其是来源不明或制造紧迫感的内容。
- 手动输入网址:若需访问某个服务,直接在浏览器输入官方地址,而非扫描二维码。
- 检查域名:扫码后仔细核对 URL,注意细微拼写差异(如“go0gle.com”)。
- 使用安全应用:部分二维码扫描器会预检链接,识别已知恶意域名。
- 启用硬件安全密钥:相比短信或 App 验证码,物理密钥更难被钓鱼。
小结
quishing 并非全新攻击,但它利用人们对二维码的信任惯性,悄然翻新了钓鱼的形态。随着移动办公和扫码支付的普及,这类骗局只会更加隐蔽。记住:任何要求你扫码并输入敏感信息的消息,都值得多留一个心眼。
