信息化觀察網(wǎng)

去年就有研究人員發(fā)現(xiàn)了一種新的網(wǎng)絡釣魚活動，該活動利用二維碼將受害者重定向到網(wǎng)絡釣魚登陸頁面，有效規(guī)避了旨在阻止此類攻擊的安全解決方案和控制措施。比如去年針對法國的網(wǎng)絡釣魚攻擊背后的攻擊者就是使用了二維碼編碼的URL來繞過分析和阻止可疑的安全軟件。由于二維碼發(fā)布沒有任何限制，二維碼生成器又隨時可從網(wǎng)上獲得，因此很容易被一些不法分子利用，發(fā)布虛假信息進行欺詐。

目前二維碼騙局主要包括三種形式

1.收款二維碼。攻擊者在正規(guī)二維碼旁邊貼上貼上攻擊者收款的二維碼。用戶一旦沒有辨別清楚掃到假的二維碼，就會跳轉(zhuǎn)至轉(zhuǎn)賬界面。

2.釣魚網(wǎng)站騙信息。直接轉(zhuǎn)賬容易被警惕性高的用戶察覺出貓膩，有些攻擊者制作出高仿官方網(wǎng)站的釣魚頁面，以完善身份認證等名義誘騙用戶主動填寫個人身份信息和銀行卡資料，從而進一步實施精準詐騙甚至盜刷網(wǎng)銀。

3.山寨App藏木馬。以共享單車為例，租用共享單車必須使用租車App，攻擊者就設計了假租車App二維碼粘貼在單車上，提示用戶“更新”。用戶掃碼后看似安裝了租車軟件，其實手機卻被植入了木馬。

由于肉眼無法辨別二維碼真?zhèn)?手機用戶在掃碼時一定要慎之又慎，最最重要的就是千萬不要見碼就掃。

其實，目前來看，用戶的帳密信息不一定是最有價值的，反而是用戶的一些衣食住行、健康狀況、財務信息等信息更有價值。因為通過這些消費數(shù)據(jù)能夠完整的跟蹤一個人，全面分析一個人。

很多人并沒有意識到，其實你的個人信息、數(shù)據(jù)往往在不經(jīng)意間便已經(jīng)被泄露。比如，在公共場所連接免費wifi，掃描促銷二維碼等，可能會導致你的流量被劫持、中間人攻擊、手持終端的入侵。

需要注意什么，以及如何保護自己免受這些惡意二維碼的攻擊？

二維碼的促銷成本很低，幾乎可以應用于任何地方，這就是為什么從零售到醫(yī)療保健的所有行業(yè)現(xiàn)在都在使用它們作為連接人們到網(wǎng)站、促銷活動、商店折扣、病人醫(yī)療記錄、移動支付和其他很多東西的快捷而簡單的方式。

二維碼不僅僅是成本效益高、使用方便。它們也是必不可少的，特別是在疫情大流行期間，非接觸式交易已成為常態(tài)。此外，現(xiàn)代幾乎人手擁有一部智能手機，而且?guī)缀跛械闹悄苁謾C都能讀取二維碼，不需要第三方應用。

MobileIron最近為了更好地了解當前二維碼的發(fā)展趨勢，所以在9月份，專門針對美國和英國的2100多名消費者進行了一項跟蹤調(diào)查，結果證明了二維碼確實在當今得到了更廣泛的應用。例如，在過去的六個月里，超過三分之一的手機用戶在餐館、酒吧、零售商或消費品上掃描二維碼。

關于MobileIron

MobileIron通過業(yè)界第一個針對無處不在的企業(yè)(Everywhere Enterprise),并以移動設備為中心的安全平臺,重新定義企業(yè)安全性。在無處不在的企業(yè)中,公司數(shù)據(jù)可在云中的設備和服務器之間自由流動,從而使工作人員在任何需要的地方都能高效地工作。為了在這種無邊界的企業(yè)中實現(xiàn)安全訪問并保護數(shù)據(jù),MobileIron采用了“零信任”方法,該方法假定網(wǎng)絡中已經(jīng)存在不良行為者,并且安全訪問由“永不信任、始終驗證”模型來確定。

調(diào)查結果還顯示了一些令人擔憂的趨勢：手機用戶并不真正了解二維碼的潛在風險，近四分之三(71%)的受訪者分不清合法二維碼和惡意二維碼。與此同時，超過一半(51%)的被調(diào)查用戶在他們的設備上沒有或不知道他們是否有移動安全保護程序。

二維碼似乎永遠都是我們生活的一部分，但我們并沒有過多地考慮它。移動設備已經(jīng)使我們習慣于在工作、購物、吃飯等其他事情分散我們的注意力時，采取快速的行動：滑動→點擊→點擊→支付。

這正是黑客賴以生存的隱性信任和輕率行為，這就是為什么如果移動員工正在使用其個人設備訪問業(yè)務應用程序并掃描可能存在風險的二維碼，則企業(yè)IT部門應開始更加仔細地研究其移動安全方法。

那么，二維碼到底有哪些風險呢？

破解一個真正的二維碼需要一些技巧才能改變代碼矩陣中的像素點，為此黑客們找到了一種簡單的方法，比如在二維碼(可由互聯(lián)網(wǎng)上廣泛使用的免費工具生成)中嵌入惡意軟件。對于普通用戶來說，這些代碼看起來都一樣，但是一個惡意的二維碼可以把用戶重定向到一個虛假的網(wǎng)站。它還可以捕獲個人數(shù)據(jù)或在智能手機上安裝惡意軟件，從而啟動如下操作：

添加聯(lián)系人列表：黑客可以在用戶的手機上添加新的聯(lián)系人列表，并使用它來發(fā)起魚叉式網(wǎng)絡釣魚或其他個性化攻擊。

1.發(fā)起電話呼叫：通過觸發(fā)向詐騙者的呼叫，這種類型的利用可將電話號碼暴露給攻擊者。

2.向某人發(fā)送短信：除了向惡意收件人發(fā)送短信外，用戶的聯(lián)系人還可能從詐騙者那里收到惡意短信。

3.編寫電子郵件：與惡意文本類似，黑客可以起草電子郵件并填充收件人和主題行。如果設備缺乏移動威脅防護，黑客可能會以用戶的工作電子郵件為目標。

4.付款：如果二維碼是惡意的，則可能使黑客自動發(fā)送付款并盜取用戶的個人財務數(shù)據(jù)。

5.顯示用戶的位置：惡意軟件可以悄無聲息地跟蹤用戶的地理位置并將此數(shù)據(jù)發(fā)送到應用程序或網(wǎng)站。

6.關注社交媒體賬戶：用戶的社交媒體賬戶可以被引導去關注一個惡意賬戶，從而暴露用戶的個人信息和聯(lián)系方式。

7.添加首選的Wi-Fi網(wǎng)絡：可以將受感染的網(wǎng)絡添加到設備的首選網(wǎng)絡列表中，其中包括一個能自動將設備連接到該網(wǎng)絡的憑證。

其實我們可以做一些簡單的防御措施來最小化二維碼攻擊風險

這些攻擊行為雖然可怕，但并非不可避免。讓用戶了解二維碼的風險是很好的開始，但企業(yè)還需要加強其移動安全防護，以抵御魚叉式網(wǎng)絡釣魚和設備接管等威脅。

用戶可以做什么來預防二維碼攻擊？

首先，請好好查看一下：確保二維碼是合法的，尤其是打印出來的二維碼，因為這些二維碼可能會被粘貼上另一種潛在的惡意碼。

僅掃描來自可信對象的代碼：移動用戶應堅持僅來自可信發(fā)件人的掃描代碼。請注意危險標記，例如網(wǎng)址與公司URL不同的網(wǎng)址，它很有可能重定向到惡意網(wǎng)站。

注意bit.ly（短網(wǎng)址）鏈接：檢查掃描二維碼后顯示的bit.ly鏈接的URL，這些鏈接通常用于偽裝惡意URL，但是可以通過在URL末尾添加一個加號（“+”）來安全地預覽它們。

公司可以做什么來預防二維碼攻擊？

希望公司盡快使用設備上的移動威脅防御解決方案，該解決方案可以防御網(wǎng)絡釣魚攻擊，設備接管，中間人攻擊和惡意應用下載。如果沒有，請立即開始尋找。公司需要確保將其部署在訪問業(yè)務應用程序和數(shù)據(jù)的每臺設備上。

如果你什么都不做，那么現(xiàn)在該考慮消除基于密碼的業(yè)務和云應用程序訪問了，這是當今數(shù)據(jù)泄露的主要原因之一。通過轉(zhuǎn)向無密碼多因素身份驗證，您不僅避免了密碼被盜的威脅，而且還消除了維護密碼的麻煩，這使每個人（除黑客之外）都更加快樂和高效。