二維碼：一種隱秘的安全威脅

去年就有研究人员发现了一种新的网络钓鱼活动，该活动利用二维码将受害者重定向到网络钓鱼登陆页面，有效规避了旨在阻止此类攻击的安全解决方案和控制措施。比如去年针对法国的网络钓鱼攻击背后的攻击者就是使用了二维码编码的URL来绕过分析和阻止可疑的安全软件。由于二维码发布没有任何限制，二维码生成器又随时可从网上获得，因此很容易被一些不法分子利用，发布虚假信息进行欺诈。

目前二维码骗局主要包括三种形式

1.收款二维码。攻击者在正规二维码旁边贴上贴上攻击者收款的二维码。用户一旦没有辨别清楚扫到假的二维码，就会跳转至转账界面。

2.钓鱼网站骗信息。直接转账容易被警惕性高的用户察觉出猫腻，有些攻击者制作出高仿官方网站的钓鱼页面，以完善身份认证等名义诱骗用户主动填写个人身份信息和银行卡资料，从而进一步实施精准诈骗甚至盗刷网银。

3.山寨App藏木马。以共享单车为例，租用共享单车必须使用租车App，攻击者就设计了假租车App二维码粘贴在单车上，提示用户“更新”。用户扫码后看似安装了租车软件，其实手机却被植入了木马。

由于肉眼无法辨别二维码真伪,手机用户在扫码时一定要慎之又慎，最最重要的就是千万不要见码就扫。

其实，目前来看，用户的帐密信息不一定是最有价值的，反而是用户的一些衣食住行、健康状况、财务信息等信息更有价值。因为通过这些消费数据能够完整的跟踪一个人，全面分析一个人。

很多人并没有意识到，其实你的个人信息、数据往往在不经意间便已经被泄露。比如，在公共场所连接免费wifi，扫描促销二维码等，可能会导致你的流量被劫持、中间人攻击、手持终端的入侵。

需要注意什么，以及如何保护自己免受这些恶意二维码的攻击？

二维码的促销成本很低，几乎可以应用于任何地方，这就是为什么从零售到医疗保健的所有行业现在都在使用它们作为连接人们到网站、促销活动、商店折扣、病人医疗记录、移动支付和其他很多东西的快捷而简单的方式。

二维码不仅仅是成本效益高、使用方便。它们也是必不可少的，特别是在疫情大流行期间，非接触式交易已成为常态。此外，现代几乎人手拥有一部智能手机，而且几乎所有的智能手机都能读取二维码，不需要第三方应用。

MobileIron最近为了更好地了解当前二维码的发展趋势，所以在9月份，专门针对美国和英国的2100多名消费者进行了一项跟踪调查，结果证明了二维码确实在当今得到了更广泛的应用。例如，在过去的六个月里，超过三分之一的手机用户在餐馆、酒吧、零售商或消费品上扫描二维码。

关于MobileIron

MobileIron通过业界第一个针对无处不在的企业(EverywhereEnterprise),并以移动设备为中心的安全平台,重新定义企业安全性。在无处不在的企业中,公司数据可在云中的设备和服务器之间自由流动,从而使工作人员在任何需要的地方都能高效地工作。为了在这种无边界的企业中实现安全访问并保护数据,MobileIron采用了“零信任”方法,该方法假定网络中已经存在不良行为者,并且安全访问由“永不信任、始终验证”模型来确定。

调查结果还显示了一些令人担忧的趋势：手机用户并不真正了解二维码的潜在风险，近四分之三(71%)的受访者分不清合法二维码和恶意二维码。与此同时，超过一半(51%)的被调查用户在他们的设备上没有或不知道他们是否有移动安全保护程序。

二维码似乎永远都是我们生活的一部分，但我们并没有过多地考虑它。移动设备已经使我们习惯于在工作、购物、吃饭等其他事情分散我们的注意力时，采取快速的行动：滑动→点击→点击→支付。

这正是黑客赖以生存的隐性信任和轻率行为，这就是为什么如果移动员工正在使用其个人设备访问业务应用程序并扫描可能存在风险的二维码，则企业IT部门应开始更加仔细地研究其移动安全方法。

那么，二维码到底有哪些风险呢？

破解一个真正的二维码需要一些技巧才能改变代码矩阵中的像素点，为此黑客们找到了一种简单的方法，比如在二维码(可由互联网上广泛使用的免费工具生成)中嵌入恶意软件。对于普通用户来说，这些代码看起来都一样，但是一个恶意的二维码可以把用户重定向到一个虚假的网站。它还可以捕获个人数据或在智能手机上安装恶意软件，从而启动如下操作：

添加联系人列表：黑客可以在用户的手机上添加新的联系人列表，并使用它来发起鱼叉式网络钓鱼或其他个性化攻击。

1.发起电话呼叫：通过触发向诈骗者的呼叫，这种类型的利用可将电话号码暴露给攻击者。

2.向某人发送短信：除了向恶意收件人发送短信外，用户的联系人还可能从诈骗者那里收到恶意短信。

3.编写电子邮件：与恶意文本类似，黑客可以起草电子邮件并填充收件人和主题行。如果设备缺乏移动威胁防护，黑客可能会以用户的工作电子邮件为目标。

4.付款：如果二维码是恶意的，则可能使黑客自动发送付款并盗取用户的个人财务数据。

5.显示用户的位置：恶意软件可以悄无声息地跟踪用户的地理位置并将此数据发送到应用程序或网站。

6.关注社交媒体账户：用户的社交媒体账户可以被引导去关注一个恶意账户，从而暴露用户的个人信息和联系方式。

7.添加首选的Wi-Fi网络：可以将受感染的网络添加到设备的首选网络列表中，其中包括一个能自动将设备连接到该网络的凭证。

其实我们可以做一些简单的防御措施来最小化二维码攻击风险

这些攻击行为虽然可怕，但并非不可避免。让用户了解二维码的风险是很好的开始，但企业还需要加强其移动安全防护，以抵御鱼叉式网络钓鱼和设备接管等威胁。

用户可以做什么来预防二维码攻击？

首先，请好好查看一下：确保二维码是合法的，尤其是打印出来的二维码，因为这些二维码可能会被粘贴上另一种潜在的恶意码。

仅扫描来自可信对象的代码：移动用户应坚持仅来自可信发件人的扫描代码。请注意危险标记，例如网址与公司URL不同的网址，它很有可能重定向到恶意网站。

注意bit.ly（短网址）链接：检查扫描二维码后显示的bit.ly链接的URL，这些链接通常用于伪装恶意URL，但是可以通过在URL末尾添加一个加号（“+”）来安全地预览它们。

公司可以做什么来预防二维码攻击？

希望公司尽快使用设备上的移动威胁防御解决方案，该解决方案可以防御网络钓鱼攻击，设备接管，中间人攻击和恶意应用下载。如果没有，请立即开始寻找。公司需要确保将其部署在访问业务应用程序和数据的每台设备上。

如果你什么都不做，那么现在该考虑消除基于密码的业务和云应用程序访问了，这是当今数据泄露的主要原因之一。通过转向无密码多因素身份验证，您不仅避免了密码被盗的威胁，而且还消除了维护密码的麻烦，这使每个人（除黑客之外）都更加快乐和高效。