二維碼已成為日常生活中的一種便捷工具，只需簡單掃描，用戶便能快速訪問網站、支付平臺或數字菜單。然而，隨著二維碼的普及，網絡犯罪分子對其的興趣也與日俱增。一種被稱為“二維碼釣魚”或“quishing”的攻擊方式，雖然并非全新，但正逐漸興起。這種攻擊通過誘導用戶掃描惡意二維碼，竊取個人信息、安裝惡意軟件或將用戶重定向至詐騙網站。

圖中展示了英格蘭西約克郡柯克利斯市停車計費器上的惡意二維碼真實案例。（來源：柯克利斯市議會）

二維碼釣魚的運作方式

網絡犯罪分子通過多種方式利用二維碼實施詐騙。最常見的方法之一是在合法的二維碼上覆蓋假二維碼。這種情況常發生在餐廳、停車計費器或其他公共場所，這些地方通常會使用二維碼提供服務。當用戶掃描假二維碼時，可能會被引導至看似合法、實則旨在竊取登錄憑證、財務信息或其他敏感數據的網站。

另一種方式是通過電子郵件或短信發送二維碼，聲稱來自銀行、快遞服務或技術支持團隊等可信來源。這類信息通常會制造緊迫感，例如告知用戶賬戶已遭入侵或需要驗證支付。一旦用戶掃描，便會在不知不覺中將私人信息拱手送給黑客。

據二維碼生成工具Online QR Code稱，二維碼有多種類型，幾乎每種類型都可能被詐騙者濫用。這意味著無論二維碼是通過海報、電子郵件還是看似正式的文件呈現，只要來源未經核實，就存在風險。

為何二維碼釣魚如此有效

二維碼釣魚之所以有效，是因為二維碼本身不會立即顯示其指向的鏈接。與傳統鏈接不同，用戶無法直接將鼠標懸停在二維碼上方預覽其URL，掃描二維碼通常會直接將用戶引導至目標網站，且沒有任何即時警告。在移動設備上，大多數二維碼掃描行為發生，這使得詐騙者更容易在不覺中得手。

此外，許多人信任二維碼，因為它們是合法企業和組織廣泛使用的工具。詐騙者利用這種信任，將惡意二維碼放置在人們通常不會懷疑其真實性的地方。這也正是美國聯邦調查局（FBI）不得不發出關于二維碼釣魚警告的原因。

如何防范二維碼釣魚

盡管二維碼釣魚威脅日益增加，但通過以下簡單步驟，你可以有效保護自己：

• 掃描前核實——在公共場所看到二維碼時，檢查其是否有被篡改的跡象。如果發現二維碼上貼有其他標簽，請避免掃描。
• 預覽URL——部分智能手機攝像頭和二維碼掃描應用允許用戶在打開鏈接前預覽URL。如果URL看起來可疑或與預期目的地不匹配，切勿繼續操作。
• 避免掃描來自郵件或短信的二維碼——對于通過電子郵件或短信發送的二維碼，尤其是未經請求或帶有緊急信息的，需保持警惕。建議手動輸入官方網站地址，而非直接掃描二維碼。
• 使用具有安全功能的二維碼掃描器——部分安全應用和二維碼掃描器內置保護功能，可以檢測并警告用戶惡意鏈接。
• 檢查HTTPS和官方域名——如果你掃描了二維碼，在輸入任何個人信息前，請仔細檢查URL。合法網站應在地址中包含“https”，且域名應與公司的官方網站一致。
• 對未經請求的二維碼保持懷疑——如果收到的二維碼聲稱提供獎品、折扣或緊急安全警報，需持懷疑態度。詐騙者常利用這些策略引誘受害者掃描。
• 保持手機安全更新——確保手機操作系統和安全軟件保持最新狀態，這有助于防范來自惡意網站的惡意軟件感染。

二維碼在短期內不會消失，它們已成為營銷、支付和日常互動中的重要工具。但與電子郵件釣魚和其他網絡安全威脅一樣，提高警惕是確保安全的關鍵。掃描前多花幾秒鐘核實二維碼的來源，可以有效避免成為這些日益復雜的詐騙行為的受害者。