在二維碼時代,網路犯罪分子採用一種稱為「quisishing」的手段來欺騙個人並將他們引導至惡意網站。繼續閱讀以了解有關這種欺騙行為、各種形式的二維碼網路釣魚以及如何保護自己免受此類攻擊的更多資訊。
Quishing 是什麼?
Quishing 是一種網路攻擊,利用二維碼誘騙個人造訪惡意網站或洩漏敏感資訊。這次攻擊利用了二維碼帶來的信任和便利來欺騙受害者。Quishing 也可以稱為 QR 碼網路釣魚、QR 碼欺騙或 QRishing。
QR 碼釣魚攻擊如何運作?
典型的 QR 碼釣魚或網路釣魚攻擊有五個關鍵階段:
- 分發:攻擊者創建欺詐性二維碼並透過各種方式分發,例如將其列印在傳單、海報或標籤上,或透過電子郵件、簡訊或社交媒體以數位方式共享。
- 欺騙:欺詐性二維碼通常設計得看似合法,並可能承諾提供誘人的優惠、折扣或服務來吸引潛在的受害者。
- 掃描:受害者遇到二維碼後,使用配備二維碼閱讀器應用程式的行動裝置進行掃描。
- 重定向:掃描二維碼後,受害者的裝置將被導向到攻擊者控制的惡意網站。該網站通常會模仿值得信賴或知名的網站。
- 資料竊取:虛假網站可能會偽裝成要求提供資訊的合法來源,從而提示受害者輸入敏感資訊,例如登入憑證、個人資訊或財務資訊。
quisishing 攻擊的類型
QR 網路釣魚攻擊或 QRishing 可以採取多種形式,攻擊者使用不同的策略來欺騙受害者。以下是一些範例:
- 虛假產品折扣:攻擊者分發二維碼,承諾對熱門產品或服務提供大幅折扣。掃描二維碼後,用戶會被重定向到一個虛假網站,要求他們提供個人資訊和付款詳情。承諾的折扣從未兌現。
- 偽造活動門票:詐騙者為不存在的活動或他們沒有的門票創建二維碼。毫無戒心的受害者掃描代碼,以為自己在購買門票,結果卻損失了金錢,個人資料也被偷走。
- 工作機會詐騙:攻擊者可能會透過電子郵件或社群媒體發送帶有求職二維碼的虛假工作機會。掃描後,代碼會將使用者帶到一個要求提供個人和財務資訊的網路釣魚頁面。
- 銀行和金融詐騙:攻擊者可能會發送看似來自用戶銀行的二維碼,聲稱連結到重要的帳戶資訊。掃描代碼會將使用者重定向到一個旨在竊取登入憑證和財務資訊的虛假銀行網站。
- 加密貨幣詐騙:詐騙者創造欺騙性的二維碼,並透過各種管道分發,例如電子郵件、社群媒體甚至實體貼紙。毫無戒心的受害者掃描這些代碼,以為自己正在發起合法的加密貨幣交易,但實際上,他們最終將資金發送到騙子的錢包。
- 慈善捐款詐騙:詐騙者分發聲稱用於慈善捐款的二維碼。掃描後,該代碼會將用戶帶到一個欺詐性捐贈頁面,以獲取他們的付款詳細資訊。
- 包裹遞送詐騙:詐騙者在電子郵件或簡訊中發送二維碼,聲稱是包裹遞送的追蹤訊息。當收件人掃描程式碼時,它會重定向到一個尋求個人資訊或提供惡意軟體的虛假網站。
- COVID-19 詐騙:在 COVID-19 大流行期間,詐騙者使用二維碼進行網路釣魚攻擊。他們在電子郵件或訊息中發送二維碼,聲稱連結到有關 COVID-19 疫苗或安全指南的資訊。掃描二維碼會導致詐騙網站索取個人資訊或傳播惡意軟體。
- 餐廳和菜單詐騙:在 COVID-19 疫情期間和之後,二維碼的使用量增加,攻擊者在虛假的餐廳菜單上分發二維碼。掃描後,這些程式碼會重定向到試圖安裝惡意軟體或竊取個人資訊的惡意網站。
這些只是二維碼釣魚攻擊的一些例子。二維碼是一種便捷的工具,但網路犯罪分子可能會利用它誘騙個人洩露敏感資訊或成為各種騙局的受害者。掃描二維碼時務必小心謹慎,尤其是掃描來自未經驗證或未經請求的來源的二維碼,並在採取任何行動之前驗證其合法性。
現實世界中的詐騙案例
中國攻擊目標銀行帳戶
2022 年,中國出現了二維碼網路釣魚活動,詐騙者冒充了中國財政部。他們發送欺騙性電子郵件,誘騙用戶相信他們可以申請新的政府補助。該伎倆包括提示用戶使用微信等行動訊息和支付應用程式掃描附件中嵌入的二維碼。駭客經常選擇二維碼,因為它們很難透過技術安全措施檢測。此外,通常用於此類操作的行動裝置可能比電腦的安全性更低。掃描代碼後,使用者將被引導至一個網頁,該網頁會提示他們提供有關其信用卡和銀行帳戶的詳細資訊。
美國的停車收費亭和停車罰單詐騙
在德州的一個案例中,網路犯罪分子將偽造的二維碼貼紙貼在停車付費亭上,讓駕駛者以為他們可以用它們來支付停車費。當掃描這些代碼時,司機會被引導到一個欺詐網站,在那裡輸入他們的信用卡信息,無意中將他們的機密數據洩露給駭客。2022 年 2 月,亞特蘭大也發生了類似事件,當時司機在車上發現了帶有二維碼的假停車罰單,據稱是用於支付罰款。問題曝光後,當地政府警告稱,亞特蘭大的停車罰單上沒有使用二維碼。
什麼是 QRLJacking?
與 quisching 相關的概念是 QRLJacking。快速回應登入 (QRL) 是一種使用二維碼登入網站、應用程式或數位服務的身份驗證方法。使用者使用智慧型手機掃描登入畫面上的二維碼,可以授予直接存取權限或啟動多因素設定的二次身份驗證。
然而,駭客可以透過以下方式利用 QRL:
- 他們在目標網站或應用程式上開始客戶端二維碼會話。
- 他們克隆合法的二維碼,並將其重定向到他們的伺服器。
- 他們將這個經過操縱的二維碼嵌入到與原始登入頁面相似的假登入頁面中。
- 透過電子郵件或其他管道分發虛假登錄頁面鏈接,提示用戶點擊並掃描二維碼。
- 如果多因素身份驗證未激活,則掃描二維碼將授予攻擊者存取權限。
出現痙攣性發作的跡象-需要注意什麼
QR 網路釣魚通常會繞過惡意軟體偵測器和電子郵件過濾器,因為它會將 QR 碼隱藏在電子郵件或帶有非可疑副檔名的附加文件中。這種模糊性,加上情緒操縱或社會工程,促使受害者掃描惡意二維碼以進行詐欺目的。請注意以下二維碼釣魚跡象:
- 不尋常的來源:如果您收到來自意外或未經請求的來源的二維碼,尤其是來自未知寄件者的電子郵件或訊息,請務必小心。
- 網域不符:檢查二維碼是否會重新導向到與其聲稱代表的網域名稱或網站不同的網域或網站。這可能是網路釣魚的跡象。
- 語法和拼字:隨附訊息或說明中的語法和拼字錯誤可能表示存在網路釣魚企圖。
- 緊急請求:警惕帶有立即採取行動的緊急請求的二維碼,例如威脅或承諾獎勵。
- 多重身份驗證步驟:真實的二維碼登入通常只需一次性掃描。如果系統提示您輸入其他資訊或步驟,這可能是網路釣魚嘗試。
- 過於個人資訊:要求提供高度個人信息,例如社會安全號碼或詳細的財務詳細信息,可能是危險信號。
- 不尋常的權限:當掃描二維碼後提示向行動應用程式授予大量權限時,請謹慎並進一步調查。
QR 碼網路釣魚策略多種多樣,因此必須保持警惕和謹慎,以免成為這些騙局的受害者。
如何保護自己免受 quisishing 的侵害
為了保護自己免受二維碼釣魚攻擊,請遵循以下準則:
- 來源驗證:掃描前請務必驗證二維碼的來源,尤其是當二維碼來自未知寄件者時。
- 對未經請求的二維碼保持懷疑:在電子郵件、簡訊或實體資料中遇到未經請求的二維碼時請務必小心。
- 檢查拼字和語法錯誤:仔細檢查宣傳資料中的拼字和文法錯誤,這些錯誤在詐騙通訊中很常見。
- 檢查目標 URL:掃描之前,請確保目標 URL 與預期來源相符且看起來合法,沒有可疑或拼寫錯誤的元素。
- 檢查登陸頁面:掃描後,仔細檢查登陸頁面的內容和設計。合法的頁面更有可能顯得專業且無錯誤。
- 警惕立即的資訊請求:如果登陸頁面立即要求敏感資訊(如登入憑證或付款詳細資訊),請務必小心。合法服務通常不會提前提出此要求。
- 驗證特別優惠或折扣:透過官方網站或公司本身獨立驗證二維碼承諾的優惠。如果某些事情看起來可疑或好得令人難以置信,請相信您的直覺並避免掃描二維碼。
- 尋找 HTTPS:檢查重新導向網站上的安全連線(HTTPS)。S 代表“安全”,表示網站具有最新的安全證書。
- 使用雙重認證 (FA):為您的線上帳戶啟用 FA,以便在您的憑證受到洩漏時增加額外的安全層。
- 報告可疑活動:向相關部門、您所在組織的 IT 部門或您的電子郵件服務提供者報告可疑的二維碼網路釣魚攻擊。
- 教育自己和他人:隨時了解網路安全新聞和威脅,以識別潛在風險。與朋友和家人分享有關二維碼網路釣魚和其他線上威脅的知識,共同增強線上安全。
- 保持最新狀態:確保您的行動裝置的作業系統和應用程式定期更新最新的安全補丁,以降低遭受此類攻擊的風險。
- 安裝安全軟體:使用最新的安全軟體(如卡巴斯基專業版)來保護您的設備,它可以阻止惡意網站並防禦一系列線上威脅。卡巴斯基專業版配備無限 VPN,可增加隱私並保護您的網路連接,並提供密碼管理器來產生和儲存強大、獨特的密碼。
透過遵循這些提示並保持警惕,您可以顯著降低成為二維碼釣魚攻擊和其他網路詐騙受害者的風險。在當今二維碼廣泛使用的數位世界中,優先考慮網路安全至關重要。
關於 QR 碼釣魚和 QR 碼釣魚攻擊的常見問題解答
什麼是 quisching?
Quishing 是指網路犯罪者使用二維碼將個人引導至虛假網站,誘騙他們提供個人或財務訊息,或誘騙他們下載惡意內容。Quishing 也可以稱為 QR 碼網路釣魚、QR 碼欺騙或 QRishing。
相關產品:
相關文章:
