近期在北美地区,一种悄然兴起的网络威胁——二维码诈骗——正日益猖獗。
曾几何时,二维码是新奇有趣的玩意儿,只需手机轻轻一扫,就能带来不少乐趣。早年间,你可能在博物馆的展品旁看到二维码,扫一扫就能了解猛犸象的饮食习性或是成吉思汗的军事策略。
而到了疫情期间,二维码更是摇身一变,成了餐厅的标配菜单。然而,随着它们在美国人日常生活中扮演的角色越来越重要,从登机牌到停车缴费,无处不在的二维码也逐渐被不法分子盯上,利用其便利性大肆实施诈骗。
图片来自于@pymnts ,版权属于原作者
BlueVoyant 公司预警性网络安全服务高级总监达斯汀·布鲁尔(Dustin Brewer)表示:“正如许多初衷美好的技术进步一样,二维码也日益成为恶意利用的目标。它们无处不在——从加油站的泵机到街边的院子告示牌,甚至电视广告上都能看到——这让它们既实用又危险,”
布鲁尔指出,攻击者正是利用这些看似无害的符号,诱骗人们访问恶意网站或在不知情的情况下泄露个人隐私信息。
这种新型诈骗手法,现在有了一个专属名称——“二维码钓鱼”(quishing)。
官方警示:防范二维码骗局
二维码诈骗日益猖獗的趋势,促使美国联邦贸易委员会(FTC)于今年早些时候发布警告,提醒民众警惕收到不请自来或意想不到的包裹,上面附有二维码。
一旦扫描这类二维码,“你可能会被带到一个钓鱼网站,窃取你的个人信息,比如信用卡号、用户名和密码。它还可能在你的手机上下载恶意软件,让黑客获得你的设备访问权限。”
今夏,全美各地的州和地方机构也纷纷发布了警示,例如纽约州交通部和夏威夷电力公司都提醒客户警惕二维码诈骗。
对网络犯罪分子而言,这种骗局的吸引力在于其操作相对简便:只需简单地将伪造的二维码贴纸贴在停车计时器上,或者伪装成水电费缴费提醒,然后利用人们急于办事的心理来完成诈骗。
“诈骗分子正是利用了你急着做某事的心情,”罗切斯特大学电气与计算机工程系教授高拉夫·夏尔马(Gaurav Sharma)说。
二维码诈骗缘何猖獗?
夏尔马教授预计,随着二维码的普及,此类诈骗将日益增多。
二维码诈骗之所以在不法分子中“异军突起”,部分原因在于针对传统电子邮件网络钓鱼活动,已部署了更多防护措施来抑制其蔓延。网络安全平台 KeepNet Labs 今年发布的一项研究发现,目前所有恶意链接中,有 26% 是通过二维码发送的。
根据网络安全公司 NordV辟恩 的数据,73% 的美国人在没有验证的情况下扫描二维码,并且已有超过 2,600 万人因此被导向了恶意网站。
“安全领域的‘猫鼠游戏’将会继续下去,人们会不断找到解决方案,而诈骗分子则会找到绕过的方法,或者转向‘草更绿’的其他领域,”夏尔马表示。
专家与机构:筑起防骗“防火墙”
夏尔马目前正在开发一种名为 SDMQR(自认证双模二维码)的“智能”二维码,其内置安全功能旨在防范诈骗。
但在此之前,他需要获得谷歌和微软的支持,这两家公司负责构建并控制摄像头基础设施。他指出,公司将 logo 嵌入二维码并非解决之道,因为这可能给人造成虚假的安全感,而且犯罪分子通常可以轻易复制这些 logo。
一些美国人对日益增长的二维码依赖感到担忧。
家住爱荷华州锡达拉皮兹的丹尼斯·乔亚尔(Denise Joyal)女士坦言:“我个人就不太喜欢使用二维码,确实很担心安全问题。当不得不通过二维码参与促销活动,而没有其他联系方式时,我尤其不喜欢。我不会用它们获取娱乐信息。”
各机构也正努力加固其二维码,以防范入侵。印第安纳波利斯儿童博物馆每年接待超过 100 万游客,其发言人娜塔莉·皮格什(Natalie Piggush)表示,博物馆的 IT 员工在几年前就开始升级他们的二维码,以应对日益严峻的威胁。
皮格什说:“在博物馆,我们使用带有我们标志和颜色的风格化二维码,而非标准的黑白二维码。我们还会详细说明用户扫描我们的二维码后将看到什么内容,并定期检查现有二维码是否被篡改或是否有异常二维码。”
博物馆通常比火车站或停车场等地方的二维码更难被攻击,因为诈骗分子更倾向于从那些预期要付费的人那里骗取现金。博物馆的游客不太可能预期要付费。
不过夏尔马表示,即使在这些环境中,伪造的二维码也可能被用于在某人的手机上安装恶意软件。
苹果与安卓用户对设备信任度不同,影响安全防范
根据 Malwarebytes 今年早些时候完成的一项研究,二维码诈骗可能同时影响苹果和安卓设备,但 iPhone 用户可能略微更容易成为受害者。
研究人员称,iPhone 用户比安卓用户更信任他们的设备,这可能导致他们放松警惕。例如,70% 的 iPhone 用户曾扫描二维码进行购物,而安卓用户中这一比例为 63%。
Malwarebytes 研究员大卫·鲁伊斯(David Ruiz)写道,这种信任可能产生负面影响,因为 iPhone 用户在进行在线购物时,不觉得需要改变自己的行为,而且他们对使用额外的网络安全措施(如杀毒软件)兴趣较低(或者根本不了解)。
55% 的 iPhone 用户信任他们的设备能保护安全,而安卓用户中持相同看法的比例为 50%。
警惕!二维码隐藏的“致命”陷阱
二维码比传统的钓鱼邮件更危险,因为用户通常无法读取或验证编码的网络地址。
虽然二维码通常会显示可读文本,但诈骗分子能轻易篡改这些内容,从而诱骗用户点击恶意链接,误入钓鱼网站。最有效的防御措施是不要扫描不必要或意想不到的二维码,并寻找那些在扫描时会显示 URL 地址的二维码。
布鲁尔指出,网络犯罪分子也一直在利用二维码渗透关键网络。
不止是小打小闹:国家级威胁与“隐形”攻击
布鲁尔表示,甚至有可靠报告指出,国家情报机构也盯上了二维码。
他们曾利用二维码入侵军事人员的消息账户,有时连 Signal 这类面向普通消费者的软件也未能幸免。更有甚者,国家级攻击者还通过二维码分发远程访问木马(RATs)——这类恶意软件能在用户不知情或未经同意的情况下运行,让黑客得以完全控制目标设备和网络。
然而,二维码最危险的方面之一在于它们已成为日常生活的组成部分,一种隐藏在光天化日之下的网络威胁。
布鲁尔说:“尤其令人担忧的是,合法的传单、海报、广告牌或官方文件都很容易被篡改。攻击者只需打印自己的二维码,然后物理或数字地覆盖在真实的二维码上,使普通用户几乎无法察觉这种欺骗。”
“像素笑脸”背后的黑客逻辑
专注于网络安全培训的 SANS 研究所研究、人工智能和新兴威胁主管罗布·李(Rob Lee)表示,二维码被入侵只是网络犯罪分子惯用策略中的又一种。
李指出:“二维码设计之初并未考虑安全性,而是为了方便生活,这也让它们成了诈骗分子的完美工具。这种伎俩我们以前在钓鱼邮件上就见过了;现在它只是变成了一个像素化的‘笑脸方块’。
虽不至于引起恐慌,但这恰恰是攻击者喜欢大规模利用的那种低投入、高回报的策略。”
安全小贴士:如何保护自己不被“码”骗?
面对无处不在的二维码,记住以下几点,让你安心扫码:
- 警惕不明来源! 绝不要扫描任何你没有预期收到或来源可疑的二维码,尤其是附在包裹或通知上的陌生二维码。
- 扫码前看清楚! 在扫码时,尽量选择那些能直接显示网址的二维码。务必仔细核对网址是否为官方网站,尤其要留意网址中的细微拼写错误或异常字符。
- 多留个心眼! 如果二维码粘贴在公共场所(如停车计时器、广告牌),扫码前最好用手触摸一下,看看是否有伪造的贴纸覆盖在其上,或者是否粘贴松动、歪斜。
- 保持警惕! 遇到任何要求你输入敏感信息(如银行卡号、密码)的二维码链接,务必再三核实。记住,天上不会掉馅饼,保护好自己的信息最重要!
来源:nbcnews.com
1
最新评论 1
: 😱 😱