在二月份的超级碗期间，一则广告引起了很多关注：一个神秘的反弹QR码，诱使观众将手机指向屏幕并点击进入一个未知的网站。

这一事件说明了人们多么愿意点击QR码，但不幸的是，对于消费者来说，营销人员并不是唯一了解这一点的群体。两个月前的12月，当恶意行为者在德克萨斯州主要城市的停车计时器上贴上QR码贴纸时，涉及QR码的更黑暗的场景就出现了，将司机引导到一个欺诈性网站，他们应该可以在那里支付停车费。

"人们被骗输入他们的信用卡信息，"赛门铁克的安全威胁研究员Eric Chien说，赛门铁克是Broadcom Software安全技术和响应部门的一部分。"这是一次做得非常好的攻击。

安全研究人员表示，虽然QR码诈骗并不常见，但风险正在上升。商业改善局的Scamtracker网站列出了自2020年3月以来美国仅46起与QR码相关的攻击。但随着消费者越来越习惯于使用QR码——根据链接管理服务 Bit.ly 的数据，自2020年3月左右以来，QR码下载量增加了750%——安全官员预计会有更多的攻击。联邦调查局甚至在一月中旬发表了一份关于QR码计划的声明，以提高人们的认识。

在典型情况下，诈骗者会发布通知（通常伪装成人们认识和信任的企业或其他组织），其中包含快速响应代码（一种存储信息的矩阵条形码）。当使用相机或应用程序扫描时，该代码会指向一个网页，该网页可能会要求毫无戒心的用户输入个人信息，例如信用卡，然后被盗，或者它可能会安装恶意软件以永久访问受害者的设备。

进行网络钓鱼

QR码最初由丰田的子公司在20世纪90年代设计，用于在制造过程中跟踪汽车和零件，随着该国在Covid-19大流行爆发时转向"非接触式"互动，二维码取代了菜单，机票，小册子，包裹跟踪号和登机牌等内容。例如，餐厅可能会要求顾客简单地用智能手机摄像头扫描方形矩阵条形码，而不是分发菜单，这样他们只需点击一下即可查看菜单的网站。现在，那些波浪形的方块似乎无处不在。

 

当它们是恶意的时，QR码诈骗本质上是一种新形式的网络钓鱼攻击，诈骗者将受害者引导到虚假网站，并继续询问个人信息。大多数智能手机"只是读取代码并打开链接，而没有确保它是安全的，或者它实际上是它所说的，"人工智能网络安全公司Darktrace的网络智能和分析总监Justin Fier说，所以用户可能不知道他们已经被拥有了。他说，更重要的是，熟练的攻击者可以使用QR码将用户发送到欺骗性网站进行利用，然后将用户输入的信息传递到真实网站 - 这种行为在网络安全术语中称为"中间人"攻击"。

诈骗者正在利用智能手机用户认为理所当然的决策机制：紧迫性偏见。"二维码是一种鼓励消费者快速采取行动的工具，"Digital River首席欺诈分析师Jason Cheung说，该公司帮助品牌浏览在线销售的后端流程。他说，像Coinbase超级碗这样的广告，使点击式反应正常化。"我忍不住想点击手机并扫描二维码，这很危险，"张先生说。"这太无意识了，你必须真正训练自己摆脱这种习惯。

诈骗者的更多工作

一些专家预计QR码诈骗仍然很少见。虽然制作一个QR码很容易将用户发送到一个看起来真实的URL，并要求提供登录凭据或银行信息，但"好消息是犯罪分子很懒惰，"云计算和安全服务提供商Fastly的安全研究副总裁Mike Benjamin说。"必须将QR码物理放置在城市周围并使其看起来完美，而不仅仅是发送简单的网络钓鱼电子邮件，这是额外的工作，"他说。赛门铁克的简先生说，与"闯入银行并在几分钟内窃取数百万人的账户信息"相比，必须位于附近才能更换餐厅菜单或在电表上贴上贴纸，这并不能带来良好的投资回报。

根据安全研究人员的说法，有一些简单的规则可以遵循，以避免被QR网络钓鱼骗局所困扰。简先生说，只扫描"烘焙"的QR码，这意味着它们在制造时打印在设备或其他信息材料上，而不是在事后卡住。

"大多数合法的QR码都不是某人添加的贴纸，"他说。如果您确实扫描了一个，请在单击之前检查大多数智能手机上弹出的域。例如，休斯顿的停车咪表骗局将用户发送到现已失效的"passportlab.xyz"，然后指示他们登录"快速付费停车"系统。他说，这应该是一个危险信号，因为来自城市的合法QR码可能会将用户引导到市政网站，通常以.gov或.org结尾，或者指向一个明显的城市运营的应用程序（通常通过印刷在金属上并贴在杆子上来做广告）。

阻止潜在骗局的最佳方法是在QR码看起来可疑或不可信时手动输入所需的网站。如果您选择扫描，安装具有额外安全性的QR码扫描仪应用程序还有助于识别骗子。其余的归结为标准网络卫生和每个人都应该采用的方法来防止任何形式的网络钓鱼攻击：使用密码管理器，它不会在可疑网站上自动填充您的凭据;确保您的信用卡具有防止盗窃和欺诈的功能;不要在未知网站上输入个人身份信息。

Digital River的张先生说，当有疑问时，就去老派。"二维码通常有多余的选择，"他说，所以要求打印菜单或用现金支付。"任何可以编码的东西，人们都会想出如何变成一个骗局，"本杰明先生说。