扫描 QR 代码总是安全的吗?
尽管二维码(QR Code)已经存在超过25年,自疫情开始以来,它们在日常生活中的使用急剧增加。但二维码是否总是安全可扫描的呢?
大多数人在餐厅扫描二维码查看菜单或输入信用卡信息支付餐费时,往往不会多加思考。然而,骗子开始利用我们对二维码的信任进行诈骗。
自2022年初以来,虚假二维码诈骗正在增加。这些骗局会劫持通常安全的二维码,将用户引导到钓鱼网站,窃取财务信息,甚至造成更严重的后果。
如何判断二维码是否安全?
那么,如何判断二维码是否安全可扫描?如果你认为自己扫描了被篡改的二维码,该怎么办?
虚假二维码诈骗是如何运作的?
任何人都可以使用多种免费的在线工具创建二维码。这让企业能够轻松使用二维码,但同样也为骗子提供了便利。
要创建二维码,企业只需使用在线二维码生成器,输入他们想要引导客户访问的网址——例如菜单、登录页面、调查或支付处理器。该程序会生成一个唯一的二维码,客户扫描后会自动被引导到二维码创建者指定的页面。
然而,如果网络犯罪分子篡改或替换了二维码,情况就会变得不同。
二维码诈骗利用了人眼无法“读取”二维码这一事实——因此我们需要相信二维码会将我们引导到正确的网址或执行其预期功能。
但由于创建二维码非常简单,骗子可以用他们自己的虚假二维码替换合法的二维码。这些“假”二维码会将你重定向到恶意网站,目的是窃取你的敏感信息。在你不知情的情况下,你可能会将信息输入一个假的支付终端或一个看似可信的登录页面。
骗子会将他们的二维码放置在人们通常期望找到二维码的地方——例如在餐馆或甚至在电子邮件中——然后等待有人扫描该二维码。
扫描虚假二维码会发生什么?
首先,技术上并不存在“虚假”二维码。二维码本身并不危险——问题在于它们的使用方式可能带来风险。
二维码不仅仅会将你引导到某个网址。实际上,骗子利用二维码有几种不同的方法来窃取你的个人信息或实施欺诈:
-
你可能被引导到“钓鱼网站”:骗子创建的页面看起来和你期望的非常相似,然后他们要求你输入敏感信息。但任何你输入的内容——例如姓名、联系方式、信用卡号码——都会直接发送给骗子,用于盗取你的身份。
-
你的设备可能感染恶意软件:二维码还可以下载恶意软件到你的设备上,例如恶意软件、勒索软件和木马病毒。这些病毒可以监视你,窃取你的敏感信息或文件(如照片和视频),甚至可以加密你的设备,直到你支付“赎金”为止。
-
二维码可能从你的账户发送电子邮件:二维码不仅会引导你访问网站。骗子还可以编程让二维码打开支付网站、关注社交媒体账户,甚至发送预先编写的电子邮件。例如,如果你扫描了恶意二维码,它可能会从你的账户编写并发送电子邮件。骗子可以通过二维码实施各种钓鱼攻击,甚至可能毁坏你的声誉。
将近50%的人表示他们在餐馆、酒吧、咖啡馆和商店扫描二维码时感到最安全,这就不难理解为什么人们会轻易成为骗局的受害者。
那么,在扫描二维码时,应该在哪些地方最为谨慎呢?
最新的9种二维码诈骗手段:
- 停车收费表上的二维码诈骗
- 钓鱼邮件中发送的虚假二维码
- 餐馆中的篡改二维码
- 通过邮寄发送的虚假二维码
- 意外包裹上的二维码
- 假冒COVID-19检测中心的二维码
- 通过社交媒体发送的二维码
- 加密货币二维码诈骗
- 假冒的二维码扫描应用程序下载恶意软件
在扫描二维码之前,请确保你没有落入这些常见的诈骗陷阱。
- 停车收费表和其他非接触支付中的二维码诈骗
二维码最常见的用途之一是让顾客快速支付商品和服务,如餐费或停车费。但任何放置在公共场所的二维码都会为骗子提供理想的诈骗机会。
当毫无防备的受害者扫描二维码时,他们会被引导到一个看似官方的支付页面进行停车支付。但当他们输入信用卡信息时,信息被发送给骗子,骗子随后可以用这些信息进行欺诈性购买,甚至在暗网出售受害者的个人数据。
根据调查,扫描二维码的美国智能手机用户数量将从2022年的8340万增加到2025年的9950万。这使得二维码支付诈骗成为骗子的主要手段之一。
为了保护自己免受此类诈骗的侵害,千万不要通过二维码支付,尤其是当二维码放置在公共场所时。务必仔细检查请求你支付信息的网站URL(如果你在餐馆里,可以询问服务员)。
二维码支付诈骗的警示信号:
- 二维码位于公共场所或易于被篡改的地方。
- 支付页面有假网站诈骗的迹象,如语法错误、设计粗劣或不寻常的URL。
- URL名称与你期望的不同,或它不是“安全”的网站。(安全网站使用HTTPS,而非HTTP,并会在URL旁显示一个挂锁图标。)
相关信息:我被黑了吗?如何识别并从黑客攻击中恢复 ->
- 钓鱼邮件中发送的虚假二维码
对于任何通过电子邮件发送的二维码要保持警惕。虽然大多数电子邮件服务可以检测并警告你有关恶意链接和附件,但它们无法对恶意二维码做出同样的反应。
这些诈骗通常涉及接收一封未经请求的电子邮件,其中包含一个二维码,需要“查看”某个文档、发票、图片或其他吸引收件人的内容。
例如,骗子经常发送“支付失败”的电子邮件,其中包含一个二维码。
这些诈骗声称来自你信任的零售商,如亚马逊或沃尔玛。邮件会声称你最近的一笔购买没有成功,并要求你扫描二维码以完成交易。
但同样,如果你输入你的信用卡信息,它会直接发送给骗子。
一般来说,不要扫描通过电子邮件发送给你的二维码。如果你认为在线购买没有成功,请直接登录公司的官方网站,而不是使用二维码。
二维码钓鱼邮件诈骗的警示信号:
- 任何嵌入在未经请求的电子邮件中的二维码都可能是诈骗。如果你不认识发件人,请不要扫描二维码。
- 诈骗邮件的典型警示信号也是二维码诈骗的指示,如来自通用域名(Gmail、Yahoo等)、域名中的拼写错误(“WALMRAT”与“WALMART”)以及使用紧急或威胁性的语言等。
- 电子邮件涉及你没有的、没有请求过的或最近未使用的交付、购买或账户。
- 你收到一封来自朋友或联系人的电子邮件,其中嵌入了二维码。骗子可以利用被黑的电子邮件账户,从更容易让你信任的收件人那里发起钓鱼攻击。
- 餐厅中的篡改二维码
餐厅是美国人使用二维码最常见的场所之一。大多数餐厅和酒吧使用二维码让顾客查看菜单,甚至下单和支付餐费。
骗子可以将这些二维码替换为重定向到钓鱼网站的二维码,从而窃取你的个人信息。
如果你对餐厅的二维码有任何疑虑,请询问工作人员。向他们展示网站和URL,并询问其是否正确。为了更确保,使用手机浏览器手动访问餐厅的网站,并仅在现场付款。
餐厅中虚假二维码的警示信号:
- 注意二维码是否有被篡改、替换或覆盖成假冒版本的迹象。
- 二维码位于不寻常的位置。对于那些容易移动的二维码特别要保持警惕——例如放在餐巾纸架上的二维码,或在桌子上找到的二维码贴纸。
- 你被引导到的网站显示出钓鱼网站的迹象——比如缺少网站的品牌标识,或者注册账户时要求提供过多信息(地址、电话号码、信用卡信息等)。
- 邮件中发送的虚假二维码(调查、抽奖等)
骗子有时会发送包含二维码的实体邮件,声称提供赠品、奖品或即时优惠券。但这些邮件很可能是诈骗。
将实体垃圾邮件视为与你邮箱中的垃圾邮件相同。如果你不认识发件人,请不要点击(或扫描)任何链接。如果是合法公司提供的折扣或特别优惠,请直接访问他们的网站确认。
垃圾邮件中二维码诈骗的警示信号:
- 任何带有二维码的未经请求的邮件都有可能是潜在的诈骗,尤其是来自债务整合服务的邮件。
- 邮件提供的优惠好得令人难以置信,例如奢侈品的大幅折扣、保证贷款或融资利率。
- 消息营造紧迫感(“仅限今天!”)或威胁(“将会对你发出逮捕令”),试图促使你采取行动。
- 要求你参与来自亚马逊的调查。该公司不会通过邮件发送调查。
- 意外包裹上的二维码
骗子需要制造好奇心,以绕过你的怀疑。而他们最简单的方法之一就是向你邮寄产品。
在这种骗局中,诈骗者会向你发送一件来自亚马逊或其他在线零售商的产品(也称为“刷单”骗局),而你并没有下过订单。在包装内部或外部,你会看到一个二维码,上面写有关于如何退货(或了解更多订单信息)的“说明”。
如果你扫描这个二维码,它会带你到一个钓鱼网站,捕获你的个人信息,如姓名、地址、亚马逊账户信息,甚至你的信用卡号码。
这种二维码诈骗的另一种形式是在你家门口留下一张“未送达包裹”的通知,上面有一个二维码,用于重新安排“你的”送货。当你扫描二维码时,你需要选择输入个人信息或支付额外的运费。
如果你收到一个你没有预期的包裹,请保持警惕,并向联邦快递和UPS报告诈骗。
二维码包裹诈骗的警示信号:
- 你收到了一个意外的包裹——即使上面有你的姓名和地址。
- 包裹要求你扫描二维码来生成退货标签。如果它声称来自你使用的亚马逊或其他零售商,请访问他们的网站查看你的历史订单。
- 当你扫描二维码时,所跳转的网站URL要么是缩短的(隐藏其真实位置),要么拼写错误,或者与预期的略有不同(例如,“amazon-support.net”)。
- 假冒COVID-19检测中心的二维码
最常报告的二维码骗局之一发生在虚假的COVID-19检测中心。根据更好的商业局的说法,这些流动和临时地点遍布全国,目的是盗取人们的个人和支付信息。
当你到达预约地点或直接走进时,会被告知扫描一个二维码以“签到”。但你被带到的网站要求提供的个人信息超出了进行COVID-19检测所需的信息。这可能包括你的社会安全号码(SSN)、保险卡的照片(可能被用于医疗身份盗窃)以及你的驾驶执照。
在某些情况下,人们根本没有收到检测结果。在其他情况下,他们收到的结果是虚假的和随机的。“COVID控制中心”在收到大量投诉后正在接受调查。
避免这种骗局的方法是仅去授权的检测中心或药店。你可以在这里找到授权的州、地方和地区检测站的名单。当你到达时,询问工作人员你将接受什么检测,以及你应该在何时和如何期待结果。
虚假COVID-19检测站二维码骗局的警示信号:
- “患者签到”的二维码要求提供敏感信息,包括医疗文件和身份证明。
- 检测设施看起来不合法——可能处于临时地点或没有聘请专业人员。
- 他们使用的类似网站或公司名称与合法检测站的名称非常接近。
- 通过社交媒体发送的二维码(被黑账户)
骗子可以通过任何平台发送假二维码。在这种骗局中,他们使用被黑的社交媒体账户发送给你带有诱人信息的二维码。
例如,可能会出现这样的信息:“看看我刚找到的你的照片!”因为你认为这个二维码是来自“朋友”,你更有可能去扫描它。
社交媒体账户被接管在所有平台上都很常见,但在Snapchat上尤为猖獗。如果你关注的某个账户给你发送了一条包含二维码的奇怪信息,建议你直接联系对方(离开该平台)以确保他们的账户没有被黑。
社交媒体二维码骗局的警示信号:
- 有一段时间没和你说话的人联系你,发送了消息和二维码。
- 消息使用某种社交工程手段让你想点击——措辞可能是威胁、引起好奇或提供过于美好的交易。
- 任何社交媒体私信(DM)中的二维码都应谨慎对待。
- 加密货币二维码骗局
在所有类型的二维码骗局中,加密货币骗局往往与一些最大的财务损失相关。
骗子会让你相信你正在进行一项投资或需要使用加密货币支付罚款。他们会向你发送一个二维码,打开一个支付处理器,允许你将你的钱转换为比特币、以太坊和其他加密货币。但一旦你完成转账,骗子要么消失,要么要求你支付更多。
例如,一名受害者报告称,当骗子联系他们并声称他们的社会安全号码(SSN)被用来进行银行诈骗和洗钱时,他们损失了超过65,000美元。为了“保护”他们账户中的钱,受害者被告知扫描一个二维码并将钱发送到骗子的比特币钱包。
另一个常见的加密货币二维码骗局涉及假投资机会。这些骗局通常发生在社交媒体或约会网站上(加密投资计划是网络约会的一个更严重的危险,受害者常常损失数十万美元)。同样,骗子使用二维码引导受害者到一个看似官方的网站,该网站包含如何向他们发送加密货币的信息。
一旦你这样做,你会看到图表和图形,显示你的投资在头几天内大幅增长。骗子会不断催促你投资更多。但当你去提取你的“收益”时,你的钱和骗子都会消失。
不幸的是,由于加密货币没有受到联邦或金融机构的支持,一旦发送几乎无法追回。
加密货币二维码骗局的警示信号:
- 骗子保证戏剧性的回报,风险几乎为零。他们通常声称拥有“秘密”或“内部”信息。
- 自称来自金融机构或政府机构的人坚持要求以加密货币付款。
- 二维码将你引导到一个设计精美的网站,解释加密投资,但不会给你任何有关该加密货币的具体信息。
- 下载恶意软件的假二维码扫描应用程序
你手机的相机能够扫描二维码。但骗子创建了假“扫描应用程序”,当你下载它们时会在你的设备上安装恶意软件。
一旦下载,应用程序会请求更新,从而下载一个名为 TeaBot 的银行木马程序。这个恶意软件旨在窃取用户的凭据并访问他们的账户。
只使用手机的相机应用程序扫描二维码。在下载应用程序时,确保它们在官方的 iOS 和 Android 应用商店中列出。
假二维码扫描应用程序的警示信号:
- 应用程序请求大量权限,例如查看和控制你的屏幕。
- 应用程序相对较新,并引用听起来假或被盗的评论。
- 如果应用程序在你下载后立即请求更新,那明显是它试图安装恶意软件的迹象。
如何保护自己免受假二维码的影响
与其完全避免使用二维码,不如学习如何识别出一些常见迹象,以判断你正在处理的是一个欺诈性的二维码。
以下是安全使用二维码的一些黄金法则:
- 寻找篡改的迹象:骗子通常会用自己的欺诈二维码替换合法的二维码。检查二维码是否贴在另一个二维码的上方,或者是否有篡改的迹象。
- 在扫描二维码之前预览网址:你的手机会告诉你二维码试图发送到哪个目的地。检查网址是否看起来安全(如果你在餐厅,可以询问工作人员)。如果网址被缩短且难以阅读,你需要格外小心。
- 检查目标网站是否有钓鱼诈骗的迹象:寻找你是否访问了欺诈网站的迹象,包括拼写错误和打字错误、不专业的设计和低分辨率的图像,以及不安全的网址。“安全”网站使用 HTTPS(而非 HTTP),并在其网址附近显示锁定图标。
- 对公共场所或邮件中的二维码保持高度警惕:公共场合的二维码或邮件中到达的二维码可能是骗子放置的,或容易被篡改。尽量避免扫描这些二维码。
- 绝不要下载二维码扫描应用:只使用手机的相机。你不需要其他工具来使用二维码。
- 安装防病毒软件和恶意软件保护:市面上有很多防病毒软件可以保护你的设备免受恶意软件的侵害,并警告你潜在的钓鱼网站。
你扫描了一个诈骗二维码吗?请立即采取以下措施
几乎无法在打开链接之前区分欺诈二维码和真实二维码。考虑到各种各样的二维码诈骗,谨慎提供通过二维码传递的信息变得更加重要。
如果你已经在一个可能是诈骗的二维码上输入了敏感信息或下载了某些内容,请迅速采取以下步骤,以保护自己免受身份盗窃和恶意软件的侵害:
如果你在一个假二维码中输入了敏感信息:
-
更改你的密码并保护你的在线账户。在任何可能被泄露的网站上更新你的登录信息。使用至少八个字符的安全密码,并包含大小写字母、符号和数字。还可以考虑使用密码管理器。这是一个可以安全存储你密码的工具,并在网站被泄露时提醒你。为了增加安全性,可以在你的账户上启用双重身份验证(2FA),使用身份验证应用程序。
-
与主要信用局(Equifax、Experian 和 TransUnion)设置欺诈警报和信用冻结。如果你不小心输入了财务信息,务必通知信用局。欺诈警报和信用冻结使得诈骗者更难以在你的名义下进行贷款欺诈或申请信用卡。有关更多信息,请查看欺诈受害者的清单。
-
通知你的银行和信用卡公司潜在的欺诈行为。拨打他们的欺诈部门电话,告知他们发生了什么。他们会帮助你关闭银行账户并设置新账户。
-
关注身份盗窃的警告信号。犯罪分子随时可以利用你的信息。注意警告信号,例如信用卡上意外的收费、失败的登录尝试邮件或丢失的邮件。如果你认为你的身份被盗,请遵循有关如何从身份盗窃中恢复的指南。
-
考虑注册身份盗窃保护。市面上有一些身份盗窃保护服务可以监控你所有最敏感的个人信息、在线账户和财务,寻找欺诈迹象。如果诈骗者试图访问你的账户或财务,这些服务还可以帮助你在为时已晚之前采取行动。但是这些服务的收费和质量参差不齐,需要谨慎删选。
如果你扫描了一个二维码,导致恶意软件下载到你的设备上:
-
断开你的 Wi-Fi 或蜂窝网络连接。一旦意识到可能下载了恶意软件,立即关闭任何网络连接。没有连接,恶意软件就更难将你的敏感信息发送给黑客。
-
备份你的重要文件。如果你的设备被黑客入侵,诈骗者可能会窃取敏感文件或照片,甚至加密你的驱动器并迫使你支付赎金。为了安全起见,将文件备份到外部驱动器上。
-
立即更改你的密码。恶意软件可能会使诈骗者访问你的在线账户——社交媒体、银行、加密货币、购物等等。更新你的密码,启用双重身份验证(2FA),并开始使用密码管理器。
-
扫描你的设备以查找恶意软件。使用有反恶意软件功能的防病毒软件进行扫描,寻找任何网络安全威胁。
结论:避免假二维码骗局
二维码非常实用。但骗子不断寻找新技术中的漏洞,以盗取你的身份并实施欺诈。
通过遵循这些最佳实践和了解常见的二维码骗局,在扫描二维码时保持安全。为了增加安全性,考虑安装身份盗窃保护和数字安全软件。