NEWS

二维码骗局卷土重来,如何避免?. 2020-10-29


就在我们认为二维码时代已经一去不复返的时候,疫情的迅速扩散又导致了这种可扫描快捷方式的回归。COVID-19的到来意味着我们需要找到与实体存在的东西等效的数字产品,就像菜单、旅游导览或是其他一些文件。许多地方都已采用二维码来帮助解决此问题。与此同时,一些犯罪活动也在开始酝酿。这些网络犯罪活动要么已经摆脱了惯用花招,开始采用一些新的诈骗手段,要么在网络上找到了其他诈骗领域。

重温:二维码是什么?

给之前错过的读者快速回顾一下,Quick Response(QR)代码只不过是二维条形码。这种类型的代码原本是给工厂中跟踪物品的机器人而设计的。由于二维码比传统条形码占用的空间少得多,因此其用途很快得到普及。

智能手机可以轻松读取二维码——只需摄像头和特定的软件即可。某些应用程序(例如银行APP)已内置了二维码读取软件,使得用户可以轻松地进行在线支付。在其他一些情况下,扫描二维码也被用于账号登录的过程。

二维码易于生成,也很难进行区分。在大多数人的眼中,它们看起来大同小异,比如这样:

二维码骗局卷土重来

为什么二维码又开始流行?

曾经有一段时间,这些二维码主要用于工业领域,以帮助跟踪库存和生产。后来二维码获得了广告商的青睐,因为比起键入长长的URL,对消费者来说扫描二维码显然更方便快捷,但是由于通过二维码无法分辨出所要前进的网页内容,人们不得不变得谨慎,二维码的使用受到很大限制。但随之而来的新冠肺炎疫情给了二维码又一次机会,企业家们抓住这一点,在保护客户免受病毒感染方面发挥创意。

举个例子,由于触摸同一张菜单很有可能导致COVID-19病毒的传播,因此很多餐厅在其桌子上放置了二维码,以便客户可以扫描该代码并在手机上打开菜单,这样既卫生又便捷。危险就在于,可能存在一些恶意的顾客用自己的二维码替换了餐厅的码,这样就容易导致诈骗案件的发生。

一些现有的二维码诈骗形式

最简单的二维码骗局就是点击劫持。有些人被雇佣去引诱其他人点击某个链接。例如,在一个非常热门的地标处,人们很可能通过扫描二维码来获取关于它的相关背景信息,犯罪分子很有可能将此处的二维码替换以进行网络诈骗,点击劫持的操作员可以就此获得报酬。

另一种是小额预付款骗局。有些服务的获得需预付费用,例如,要租用共享自行车,您需要支付少量费用才能打开车锁,用于识别自行车并开始付款程序的二维码印在自行车上。但是,这些二维码很可能被那些致力于小额诈骗的犯罪分子所更换。

网络钓鱼链接也可以很容易地利用二维码进行伪装。网络钓鱼者将二维码放在较为显眼的位置。例如,如果有人想要登录后进入付款程序或获得对某些服务的访问权限,诈骗者可能会在其中放置二维码。此外,我们还看到带有诈骗性质二维码的网络钓鱼邮件。

二维码骗局卷土重来

上面显示的电子邮件指示收件人从其银行安装“安全APP”,以避免其帐户被锁定。但是,它指向的却是网络商店外部的恶意应用。用户必须允许来自未知来源的安装才能执行此操作,这相当危险,但还是有不少人上当。

最后,还有一个重定向付款诈骗的形式,一些支持比特币付款的网站会使用这种类型的诈骗。当用户输入接收比特币的地址时,网站为另一个比特币地址生成二维码码以接收付款。可见,仅凭一个二维码人们根本无法获取太多的信息。

如何避免二维码诈骗

有一些常见的方法可以避免二维码欺诈:

不要信任来自未知发件人的电子邮件。

请勿扫描电子邮件中嵌入的二维码,请把它们当作一般的链接看待。

检查在原来的二维码上是否粘贴了新的二维码标签,如果有,请务必不要扫描它,甚至是尝试删掉它。

进入链接之前使用二维码扫描器检查或显示它的URL。

在设备上使用诈骗阻止程序或Web筛选器以保护您免受已知诈骗的侵害。

即使银行发出的邮件看起来合法,但如果他们要求您在他们自己以外的其他网站进行登录、安装其他软件或是为尚未订购的商品支付费用,那么您应与银行进行核实(拨打信件或是官网上的联系电话)。

 

此外,如果二维码已经脱离了正常的付款程序,请勿使用您的银行APP扫描二维码。

接下来我们该怎么办?

俗话说,凡事预则立。替代Android设备上的二维码的一种方法是正处于开发中的近距离无线通讯技术(NFC)。NFC Tag就像二维码一样,利用现有设备的一些应用程序即可读取。型号较老的智能手机可能需要安装一个app才能读取它们,而大多新款的iPhone和Android手机都可以读取第三方NFC Tag,无需额外的软件。

NFC Tag也是人类仅凭肉眼无法读取的,但是它们确实有存在的必要性。不过随着非接触式支付方式的普及,我们可能会看到更多针对此类通信方式的骗局。

祝好!

本文翻译自:

https://blog.malwarebytes.com/scams/2020/10/qr-code-scams-are-making-a-comeback/

转自嘶吼网



上一篇:微软:伊朗黑客攻击慕尼黑安全会议和T20峰会的参与者
下一篇:数字时代亟须加快制定个人信息保护法