QR コードフィッシングの脅威 - 読み取る前に確認すべきこと

本文约需 13 分钟阅读

QR 码如今已渗透到日常生活的方方面面 - 餐厅菜单、活动门票、支付、Wi-Fi 连接。只需用智能手机摄像头扫一扫就能访问，非常方便，但攻击者正在越来越多地利用这种便利性。"Quishing"（QR 码钓鱼）是一种通过伪造 QR 码将用户引导至恶意网站，窃取认证信息和个人数据的攻击手法。本文将详细介绍 Quishing 的具体手法、伪造 QR 码的放置位置，以及安全扫描 QR 码的确认步骤。

Quishing 的手法与原理

覆盖正规 QR 码的手法

最常见的 Quishing 手法是在正规 QR 码上贴上带有伪造 QR 码的贴纸。停车场缴费机、餐厅桌面、公共设施指示牌等人们毫不怀疑就会扫描的地方都是目标。攻击者制作逼真的贴纸，只需贴在原始 QR 码上就能实施攻击。由于这是物理篡改，数字安全工具很难检测到。

当受害者扫描伪造的 QR 码时，会被引导到与正规服务极为相似的钓鱼网站。如果在那里输入登录信息或信用卡号，这些信息就会落入攻击者手中。与传统的钓鱼邮件不同，QR 码很难在访问前目视确认 URL，因此用户更难察觉异常。

嵌入邮件和文档的手法

另一种主要手法是在钓鱼邮件或印刷品中嵌入 QR 码。"请扫描以下 QR 码进行安全更新"、"扫描此处查看快递状态"等文字诱导用户扫描。虽然邮件安全过滤器可以检查 URL 链接，但通常无法检测嵌入在 QR 码图像中的 URL，这对攻击者来说是一个优势。

伪造 QR 码的放置位置

公共场所的设置案例

攻击者偏好人流量大的地方。停车场缴费机是特别常见的目标，因为用户通常很着急，容易忽略验证。餐厅和咖啡馆桌上的菜单 QR 码也是目标。疫情以来非接触式菜单的普及降低了人们对扫描 QR 码的警惕性，提高了攻击成功率。

公共交通时刻表、旅游指示牌、共享单车站点、电动车充电桩等也是目标。在这些地方，用户认为扫描 QR 码是使用服务"必需"的，即使是假的也不太会产生怀疑。攻击者巧妙地利用了这种信任关系。

数字空间中的传播

伪造 QR 码不仅出现在物理场所，还在社交媒体帖子、即时通讯应用和在线广告中传播。它们通常伴随着"限定优惠券"、"您已中奖"、"需要账户验证"等文字。特别是在社交媒体上，可信赖的朋友账户可能被劫持来传播伪造 QR 码，结合社会工程学的高级攻击正在增加。

如何安全扫描 QR 码

扫描前的物理确认

扫描 QR 码之前，首先检查其物理状态。查看是否有贴纸覆盖在上面、边缘是否翘起、与周围材料的质感是否不同。正规的 QR 码通常直接印刷在标牌或海报上。贴在上面的贴纸很可能表示被篡改，不应扫描。

如果感觉可疑，向工作人员确认是最可靠的方法。只需问一句"这个 QR 码是正规的吗？"就可能防止潜在损失。特别是与支付相关的 QR 码，通过官方应用直接访问更安全。

URL 预览确认步骤

大多数智能手机相机应用在扫描 QR 码时会显示 URL 预览。利用这个功能，在打开链接之前务必确认 URL。检查是否是正规域名、是否有拼写错误、是否包含可疑的子域名。例如"paypa1.com"（数字 1 而非字母 l）或"amazon-security-verify.com"都是典型的假域名。

对于缩短的 URL（如 bit.ly、t.co 等）要特别小心。缩短 URL 可以隐藏最终目的地，容易被攻击者滥用。如果可能，使用 URL 展开服务检查实际目的地，或者干脆不扫描，直接访问官方网站。关于钓鱼手法的更多信息，请参阅钓鱼防护综合指南。

组织和个人的防御措施

个人应养成的习惯

为了保护自己免受 QR 码钓鱼攻击，养成几个关键习惯。首先，如果扫描 QR 码后被要求输入登录信息或个人信息，请暂停思考。对于正规服务，可以通过官方应用或书签重新访问来确保安全。此外，启用双因素认证即使密码泄露也能防止未授权访问。

使用密码管理器也是有效的对策。密码管理器会严格检查域名，因此在钓鱼网站上自动填充不会工作。如果你注意到自动填充没有生效，这是你可能在假网站上的重要信号。关于智能手机安全的更多信息，<AmazonLink keyword="スマホ セキュリティ" locale={locale} className="amazon-inline-link">智能手机安全相关书籍 (Amazon)</AmazonLink>也是有用的参考。

组织层面的对策

在业务中使用 QR 码的组织应建立定期检查 QR 码是否被篡改的巡查体制。此外，在 QR 码旁边标注正规 URL，为用户提供手动访问的选择。对员工应进行包含 Quishing 手法的安全教育，并建立报告可疑 QR 码的机制。