二維碼無(wú)處不在，你可以在海報(bào)和傳單、ATM屏幕、價(jià)簽和商品甚至建筑物上看到它們，人們用它們來(lái)分享信息，推廣各種在線(xiàn)資源，然而，你卻很少在電子郵件中看到二維碼。用戶(hù)無(wú)需掃描即可在手機(jī)上直接閱讀信息，因?yàn)榇蠖鄶?shù)信件都帶有普通的超鏈接，但攻擊者正越來(lái)越多地通過(guò)電子郵件發(fā)送的二維碼來(lái)實(shí)施攻擊。

與易于檢查和屏蔽的釣魚(yú)鏈接不同，二維碼是安全解決方案中令人頭疼的問(wèn)題。分析二維碼并找出其中包含的信息，需要昂貴且資源豐富的計(jì)算機(jī)視覺(jué)技術(shù)。更糟糕的是，雖然一個(gè)普通的鏈接只需看一眼就可以整理出來(lái)，但使用二維碼，在掃描之前，你無(wú)法判斷它會(huì)把你重定向到哪里。

二維碼也稱(chēng)快速響應(yīng)碼，是一種二維矩陣條形碼，由幾個(gè)正方形和多個(gè)點(diǎn)（模塊）組成，排列在白色背景上的正方形圖案中，可以使用圖像處理設(shè)備來(lái)掃描QR碼。它將首先通過(guò)正方形識(shí)別代碼的位置，然后讀取點(diǎn)中編碼的信息，除了實(shí)際的代碼外，方形區(qū)域還可以容納裝飾元素，例如公司徽標(biāo)。

二維碼比1D條形碼能夠編碼更多的數(shù)據(jù)，它們通常用于編碼指向各種資源的超鏈接，例如商店目錄、結(jié)賬頁(yè)面或建筑信息頁(yè)面。

電子郵件中的惡意二維碼

攻擊者使用二維碼對(duì)網(wǎng)絡(luò)釣魚(yú)和詐騙頁(yè)面的鏈接進(jìn)行編碼，研究人員在2021年底注冊(cè)了第一次使用該技巧進(jìn)行惡意電子郵件活動(dòng)的嘗試。這些都是模仿聯(lián)邦快遞（FedEx）和DHL等快遞服務(wù)公司電子郵件的詐騙信息，受害者會(huì)被誘騙通過(guò)掃描二維碼支付關(guān)稅，編碼的鏈接正在重定向到一個(gè)偽造的銀行卡數(shù)據(jù)輸入頁(yè)面。這場(chǎng)活動(dòng)的規(guī)模不大，并到2022年年中有所減少。研究人員在2023年春季觀察到的以二維碼為特色的新電子郵件活動(dòng)，與第一次不同的是，這次是針對(duì)微軟產(chǎn)品企業(yè)用戶(hù)的登錄名和密碼。

攻擊者向受害者發(fā)送信息，告知他們的公司電子郵件帳戶(hù)密碼即將過(guò)期，為了保留對(duì)賬戶(hù)的訪(fǎng)問(wèn)權(quán)限，用戶(hù)需要掃描二維碼。一些電子郵件將來(lái)自免費(fèi)郵件地址，另一些則來(lái)自最近注冊(cè)的域名，在一些信息中，攻擊者在二維碼中添加了微軟安全標(biāo)志，以提高可信度。

帶有二維碼的釣魚(yú)郵件

在收到釣魚(yú)郵件并掃描代碼后，用戶(hù)將被重定向到一個(gè)類(lèi)似微軟登錄頁(yè)面的虛假登錄頁(yè)面，只要輸入登錄名和密碼，攻擊者就可以訪(fǎng)問(wèn)該帳戶(hù)。

除了敦促用戶(hù)更改密碼或更新個(gè)人數(shù)據(jù)的消息外，我們還檢測(cè)到一個(gè)未發(fā)送的電子郵件通知活動(dòng)，該活動(dòng)還使用二維碼重定向到虛假的微軟帳戶(hù)登錄頁(yè)面。

以下截圖所示的信件沒(méi)有二維碼標(biāo)志，但帶有“此郵件來(lái)自可信來(lái)源”的字樣，讓用戶(hù)放松警惕。

未發(fā)送的郵件通知

掃描二維碼時(shí)看到的一些頁(yè)面位于IPFS資源中，攻擊者會(huì)用這種分布式文件系統(tǒng)發(fā)起攻擊。IPFS是一種點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)協(xié)議，旨在創(chuàng)建持久且分布式存儲(chǔ)和共享文件的網(wǎng)絡(luò)傳輸協(xié)議，IPFS網(wǎng)絡(luò)釣魚(yú)活動(dòng)與傳統(tǒng)網(wǎng)絡(luò)釣魚(yú)活動(dòng)類(lèi)似，攻擊者模仿合法服務(wù)和軟件（如DHL、DocuSign和Adobe）來(lái)增加進(jìn)入目標(biāo)收件箱的可能性。

統(tǒng)計(jì)數(shù)據(jù)

從2023年6月到8月，研究人員檢測(cè)到8878封包含二維碼的網(wǎng)絡(luò)釣魚(yú)郵件，惡意活動(dòng)在6月份達(dá)到頂峰，有5063封信，到8月份減少到762封信。

2023年6月至8月帶有二維碼的釣魚(yú)電子郵件數(shù)量趨勢(shì)

總結(jié)

攻擊者可以通過(guò)多種方式使用二維碼。首先，這些代碼使他們能夠避免安全措施檢測(cè)和屏蔽他們的電子郵件，查看二維碼內(nèi)容并不容易，而且消息中沒(méi)有釣魚(yú)鏈接；此外，一封信不能僅僅因?yàn)槔锩嬗卸S碼就被屏蔽，盡管二維碼不是一個(gè)流行的電子郵件元素，但二維碼也可以用于合法的通信，例如發(fā)件人的自動(dòng)簽名；其次，由于消息中不包含鏈接，因此無(wú)需注冊(cè)額外的帳戶(hù)或域來(lái)重定向用戶(hù)，從而隱藏網(wǎng)絡(luò)釣魚(yú)；最后，大多數(shù)用戶(hù)使用智能手機(jī)攝像頭掃描二維碼，并希望盡快解決問(wèn)題。因此，他們可能會(huì)忽略重定向到的頁(yè)面的地址行，因?yàn)樗谝苿?dòng)瀏覽器中不太顯眼。

另一方面，合法發(fā)件人幾乎從不在郵件中使用二維碼，因此僅僅在電子郵件中出現(xiàn)二維碼就可能引發(fā)懷疑；此外，掃描二維碼需要另一個(gè)設(shè)備，而用戶(hù)可能沒(méi)有現(xiàn)成的設(shè)備。目前研究人員還沒(méi)有觀察到許多基于二維碼的攻擊活動(dòng)，他們只能假設(shè)實(shí)際掃描代碼的收件人不多。盡管如此，考慮到該機(jī)制的使用情況，預(yù)計(jì)這種攻擊在短期內(nèi)會(huì)增加，且活動(dòng)本身也會(huì)變得更加復(fù)雜，并針對(duì)特定目標(biāo)進(jìn)行調(diào)整。