去年就有研究人員發現了一種新的網路釣魚活動，該活動利用二維碼將受害者重定向到網路釣魚登陸頁面，有效規避了旨在阻止此類攻擊的安全解決方案和控制措施。比如去年針對法國的網路釣魚攻擊背後的攻擊者就是使用了二維碼編碼的URL來繞過分析和阻止可疑的安全軟體。由於二維碼釋出沒有任何限制，二維碼生成器又隨時可從網上獲得，因此很容易被一些不法分子利用，釋出虛假資訊進行欺詐。

目前二維碼騙局主要包括三種形式

1.收款二維碼。攻擊者在正規二維碼旁邊貼上貼上攻擊者收款的二維碼。使用者一旦沒有辨別清楚掃到假的二維碼，就會跳轉至轉賬介面。

2.釣魚網站騙資訊。直接轉賬容易被警惕性高的使用者察覺出貓膩，有些攻擊者製作出高仿官方網站的釣魚頁面，以完善身份認證等名義誘騙使用者主動填寫個人身份資訊和銀行卡資料，從而進一步實施精準詐騙甚至盜刷網銀。

3.山寨App藏木馬。以共享單車為例，租用共享單車必須使用租車App，奇熱網攻擊者就設計了假租車App二維碼貼上在單車上，提示使用者“更新”。使用者掃碼後看似安裝了租車軟體，其實手機卻被植入了木馬。

由於肉眼無法辨別二維碼真偽,手機使用者在掃碼時一定要慎之又慎，最最重要的就是千萬不要見碼就掃。

其實，目前來看，使用者的帳密資訊不一定是最有價值的，反而是使用者的一些衣食住行、健康狀況、財務資訊等資訊更有價值。因為通過這些消費資料能夠完整的跟蹤一個人，全面分析一個人。

很多人並沒有意識到，其實你的個人資訊、資料往往在不經意間便已經被洩露。比如，在公共場所連線免費wifi，掃描促銷二維碼等，可能會導致你的流量被劫持、中間人攻擊、手持終端的入侵

需要注意什麼，以及如何保護自己免受這些惡意二維碼的攻擊？

二維碼的促銷成本很低，幾乎可以應用於任何地方，這就是為什麼從零售到醫療保健的所有行業現在都在使用它們作為連線人們到網站、促銷活動、商店折扣、病人醫療記錄、移動支付和其他很多東西的快捷而簡單的方式。

二維碼不僅僅是成本效益高、使用方便。它們也是必不可少的，特別是在疫情大流行期間，非接觸式交易已成為常態。此外，現代幾乎人手擁有一部智慧手機，而且幾乎所有的智慧手機都能讀取二維碼，不需要第三方應用。

MobileIron最近為了更好地瞭解當前二維碼的發展趨勢，所以在9月份，專門針對美國和英國的2100多名消費者進行了一項跟蹤調查，結果證明了二維碼確實在當今得到了更廣泛的應用。例如，在過去的六個月裡，超過三分之一的手機使用者在餐館、酒吧、零售商或消費品上掃描二維碼。

關於MobileIron

MobileIron通過業界第一個針對無處不在的企業(Everywhere Enterprise),並以移動裝置為中心的安全平臺,重新定義企業安全性。在無處不在的企業中,公司資料可在雲中的裝置和伺服器之間自由流動,從而使工作人員在任何需要的地方都能高效地工作。為了在這種無邊界的企業中實現安全訪問並保護資料,MobileIron採用了“零信任”方法,該方法假定網路中已經存在不良行為者,並且安全訪問由“永不信任、始終驗證”模型來確定。

調查結果還顯示了一些令人擔憂的趨勢：手機使用者並不真正瞭解二維碼的潛在風險，近四分之三(71%)的受訪者分不清合法二維碼和惡意二維碼。與此同時，超過一半(51%)的被調查使用者在他們的裝置上沒有或不知道他們是否有移動安全保護程式。

二維碼似乎永遠都是我們生活的一部分，但我們並沒有過多地考慮它。獨步移動裝置已經使我們習慣於在工作、購物、吃飯等其他事情分散我們的注意力時，採取快速的行動：滑動→點選→點選→支付。

這正是黑客賴以生存的隱性信任和輕率行為，這就是為什麼如果移動員工正在使用其個人裝置訪問業務應用程式並掃描可能存在風險的二維碼，則企業IT部門應開始更加仔細地研究其移動安全方法。

那麼，二維碼到底有哪些風險呢？

破解一個真正的二維碼需要一些技巧才能改變程式碼矩陣中的畫素點，為此黑客們找到了一種簡單的方法，比如在二維碼(可由網際網路上廣泛使用的免費工具生成)中嵌入惡意軟體。對於普通使用者來說，這些程式碼看起來都一樣，但是一個惡意的二維碼可以把使用者重定向到一個虛假的網站。它還可以捕獲個人資料或在智慧手機上安裝惡意軟體，從而啟動如下操作：

新增聯絡人列表：黑客可以在使用者的手機上新增新的聯絡人列表，並使用它來發起魚叉式網路釣魚或其他個性化攻擊。

1.發起電話呼叫：通過觸發向詐騙者的呼叫，這種型別的利用可將電話號碼暴露給攻擊者。

2.向某人傳送簡訊：除了向惡意收件人傳送簡訊外，使用者的聯絡人還可能從詐騙者那裡收到惡意簡訊。

3.編寫電子郵件：與惡意文字類似，黑客可以起草電子郵件並填充收件人和主題行。如果裝置缺乏移動威脅防護，黑客可能會以使用者的工作電子郵件為目標。

4.付款：如果二維碼是惡意的，則可能使黑客自動傳送付款並盜取使用者的個人財務資料。

5.顯示使用者的位置：惡意軟體可以悄無聲息地跟蹤使用者的地理位置並將此資料傳送到應用程式或網站。

6.關注社交媒體賬戶：使用者的社交媒體賬戶可以被引導去關注一個惡意賬戶，從而暴露使用者的個人資訊和聯絡方式。

7.新增首選的Wi-Fi網路：可以將受感染的網路新增到裝置的首選網路列表中，其中包括一個能自動將裝置連線到該網路的憑證。

其實我們可以做一些簡單的防禦措施來最小化二維碼攻擊風險

這些攻擊行為雖然可怕，但並非不可避免。讓使用者瞭解二維碼的風險是很好的開始，但企業還需要加強其移動安全防護，以抵禦魚叉式網路釣魚和裝置接管等威脅。

使用者可以做什麼來預防二維碼攻擊？

首先，請好好檢視一下：確保二維碼是合法的，尤其是打印出來的二維碼，因為這些二維碼可能會被貼上上另一種潛在的惡意碼。

僅掃描來自可信物件的程式碼：移動使用者應堅持僅來自可信發件人的掃描程式碼。請注意危險標記，例如網址與公司URL不同的網址，它很有可能重定向到惡意網站。

注意bit.ly（短網址）連結：檢查掃描二維碼後顯示的bit.ly連結的URL，這些連結通常用於偽裝惡意URL，但是可以通過在URL末尾新增一個加號（“+”）來安全地預覽它們。

公司可以做什麼來預防二維碼攻擊？

希望公司儘快使用裝置上的移動威脅防禦解決方案，該解決方案可以防禦網絡釣魚攻擊，裝置接管，中間人攻擊和惡意應用下載。如果沒有，請立即開始尋找。公司需要確保將其部署在訪問業務應用程式和資料的每臺裝置上。

如果你什麼都不做，那麼現在該考慮消除基於密碼的業務和雲應用程式訪問了，這是當今資料洩露的主要原因之一。通過轉向無密碼多因素身份驗證，您不僅避免了密碼被盜的威脅，而且還消除了維護密碼的麻煩，這使每個人（除黑客之外）都更加快樂和高效。