二维码钓鱼攻击（Quishing）是一种利用二维码（QR Code）进行网络钓鱼的网络安全威胁。随着二维码的广泛应用，这种攻击方式正逐渐成为网络犯罪分子的新手段。

由于二维码使用的便捷性，已成为企业和组织交换信息、促进支付或引导用户访问网站的广泛使用工具，人们通常认为二维码是无害的。利用人们对二维码的信任和熟悉，是一些恶意活动的常见手段。

诈骗分子会通过多种渠道传播有害二维码。比如发电子邮件、短信，在社交媒体上散布，在公共场所张贴，甚至直接找人当面扫码。

美国联邦调查局（FBI）就曾指出，近来诈骗分子诱导受害者使用实体加密货币自动取款机，配合二维码完成支付交易的情况越来越多。这些欺诈分子常常哄骗受害者转账，还会让他们从投资账户、退休账户等金融账户里取钱。

FBI 特别提醒，诈骗分子会给受害者一个关联他们加密货币钱包的二维码，让受害者用这个码完成交易。接着，欺诈分子就会指引受害者前往实体加密货币自动取款机，让受害者存钱、买加密货币，再用之前给的二维码自动填好收款人的地址。

1. 生成恶意二维码

网络犯罪分子创建恶意二维码，引导用户访问虚假网站或下载恶意软件。这些二维码通过多种渠道传播，包括电子邮件、社交媒体、印刷材料，甚至直接覆盖公共场所的合法二维码。

2. 诈骗过程

一旦用户扫描二维码，就会被引导至一个看似合法的虚假网站，并提示输入敏感信息，如登录凭证、个人数据或财务信息。某些攻击还会导致设备感染恶意软件，进而危及整个网络。

攻击者利用被攻陷的电子邮件账户，通过受害组织的Outlook基础设施发送二维码。扫描后的钓鱼页面通常托管在企业调查服务上，并与Google或亚马逊的IP地址关联。

这些消息的特别之处在于，它们包含二维码，允许用户访问未接语音邮件。这种设计巧妙地避开了安全电子邮件网关和本地安全控制对附件的扫描。

二维码图像大多在发送当天生成，从而降低了因之前报告而被安全黑名单标记的风险。攻击活动中使用了六个不同的配置文件，其中大多数经过精心设计，以吸引目标行业。

在最近的网络钓鱼活动中，网络犯罪分子开始使用二维码替代按钮，将受害者引导至欺诈网站。这些电子邮件没有明文URL，而是通过二维码隐藏链接，增加了安全软件检测的难度。

二维码攻击对移动用户尤其有效，因为他们的设备可能缺乏互联网安全工具的保护。受害者被引导至钓鱼网站后，会被要求输入银行位置、代码、用户名和PIN码。

在输入这些信息后，用户会被告知验证失败，并需要重新输入。在网络钓鱼活动中，经常使用这种重复来防止用户首次输入凭证时出现拼写错误。

即使收到的电子邮件看起来非常真实，处理时也务必谨慎。不要点击任何将你重定向到外部网站的按钮、URL 或二维码。在输入账户凭证之前，务必核实所在的域名以确保其真实性。

过去，二维码钓鱼攻击并不常见。然而，在 2023 年 9 月中旬左右，微软安全研究与威胁情报部门注意到涉及二维码的钓鱼尝试显著增加。近期的这些案例凸显了网络犯罪分子不断变化的策略，以及在数字安全中保持高度警惕的重要性日益提升。

许多网络钓鱼邮件专门针对能源公司，同时也涉及制造业、保险业、科技和金融服务等其他行业。这些邮件中的二维码会将用户引导至伪造的Microsoft 365页面，通常伪装成安全设置更新或多因素认证请求。

一个典型的Quishing攻击案例是伪造来自政府部门或快递服务的电子邮件，其中包含二维码，扫描后会引导用户进入虚假网站以获取个人和财务数据。这种策略成功地将钓鱼攻击从桌面设备转移到了移动设备，从而避开了较弱的反钓鱼防御。

1. 个人风险

• 个人信息泄露：扫描恶意二维码可能导致个人敏感信息被盗。

• 金融欺诈：提供支付信息可能导致直接的经济损失或欺诈。

• 恶意软件感染：某些攻击会导致设备感染恶意软件，危及网络安全。

• 信任问题：频繁的Quishing攻击可能削弱用户对二维码的信任，影响其合法用途的有效性。

2. 组织风险

• 潜在的安全漏洞：如果员工成为钓鱼攻击的目标，未经授权的人可能访问公司网络和敏感数据。

• 声誉损害：组织若成为钓鱼攻击的目标或因其系统被攻陷，可能会严重损害其声誉。

• 财务损失：除了直接盗窃，企业还可能因补救措施、加强网络安全和潜在的法律后果而蒙受经济损失。

• 对组织的潜在法律后果：未能充分保护数据的公司可能会面临法律后果，特别是在 GDPR 等数据保护法规下。

• 合规性挑战：组织必须确保其网络安全政策和实践是最新的，以有效应对不断演变的威胁，这可能需要大量资源。

3. 二维码钓鱼在网络安全方面的危害

• 恶意软件传播：二维码欺诈成了传播恶意软件的新途径，威胁设备和网络安全。随着二维码使用越来越广泛，网络犯罪分子利用漏洞的机会也大大增加，这给全面保障网络安全带来了更大挑战。

• 弱势群体易受攻击：不太懂技术的人，更容易被钓鱼攻击骗到，成为犯罪分子的目标。

• 对社会的影响：频繁的二维码欺诈攻击可能会削弱人们对二维码的信任，使其变得不那么有用，也不太可能被广泛接受。经常接触此类手段可能会导致用户对可疑活动麻木，使他们更容易受到其他类型网络攻击的影响。

• 用户教育：提高用户对二维码潜在风险的认识，教育他们避免扫描来自不明或不可信来源的二维码。

• 安全的二维码生成：组织应确保生成的二维码是安全的，并且不能被篡改。

• URL验证：建议在扫描二维码后检查URL，确保其与预期目标一致。某些安全二维码扫描器具有高级安全功能，可以有效识别并标记可疑URL。

• 多因素认证（MFA）：对经常成为攻击目标的平台实施多因素认证，可以增加一层额外的安全性。

• 持续监控：企业应持续监控其二维码活动，及时发现篡改或滥用的迹象。

• 信息共享的谨慎：在扫描二维码后分享信息时，务必仔细检查网页的Logo和完整URL，确保其真实性。