随着品牌和店主在 COVID-19 大流行期间提供更灵活的客户服务体验,快速响应 (QR) 码越来越受欢迎。 这些代码提供了一种快速访问网站地址或将其他基于文本的信息保存到移动设备的方法。
QR 码可以方便地保存击键和消除拼写错误。 它们使响应营销活动或收集有关产品的更多信息变得容易。 但是,QR 码也可用于恶意活动。
恶意二维码很难被发现,因为它们的内容在扫描之前是模糊的。 最近的 MobileIron 调查发现,近 63% 的受访者无法区分安全和恶意二维码。 只有通过二维码阅读器解读代码后才能进行区分。
了解二维码攻击向量
QR 码不仅仅可以显示网站地址。 它们还可以用于启动一项需要花钱的操作,例如打电话或付款。 以下是恶意二维码可用于破坏设备、窃取信息和金钱的一些方式。 (另请阅读:您的智能手机会被黑吗?)
软件安装
QR码可用于安装软件。 下载和安装可以在后台进行,无需用户知情或许可。 很难删除,这些偷偷摸摸的恶意软件应用程序通过隐藏其应用程序图标而远离人们的视线。
网络钓鱼
网络钓鱼是恶意二维码的常见用途。 用于网络钓鱼的 QR 码利用多种因素来完成诈骗。 他们利用较小的移动屏幕尺寸来隐藏完整的 URL 目标。 较小的屏幕允许诈骗者在移动浏览器中显示网络钓鱼网站的合法部分。
发送短信或电子邮件
QR 码可用于发送文本或电子邮件消息。 一些诈骗可能包括向为攻击者创造收入的收费电话号码发送消息。 恶意或垃圾短信也可以发送到手机的联系人。 这些消息是在受害者不知情或未同意的情况下发送的。
设备位置
QR 码可用于在您的设备上启用位置,这可能会泄露您的位置或窃取有关您的网络和设备的信息。 此信息可以保存并在以后发送到攻击者的服务器。 设备上的其他恶意软件也可以利用位置数据。
创建日历事件
QR 码可用于在手机日历中创建日历事件。 像这样的垃圾邮件事件可能很烦人,还可能包含恶意链接或包含社会工程内容以敦促受害者采取行动。
利用二维码阅读器漏洞
攻击者可以通过二维码阅读器软件使用命令注入或缓冲区溢出来利用漏洞,从而获得对手机操作系统的全部或部分控制权。
防止攻击和数据丢失
由于恶意二维码不容易识别,因此最好谨慎使用。 以下是防止意外泄露您的信息的几种方法。 (另请阅读:移动设备行业需要解决的 5 个问题,Pronto。)
不要盲目相信二维码
考虑来源并寻找篡改的证据。 打印的代码可以很容易地用贴纸覆盖。 在扫描之前要小心并检查是否有贴纸覆盖。 选择仅扫描受信任资源提供的代码。
不要分享个人信息或付款信息
考虑向恶意网站提供支付数据的后果。 钓鱼网站被设计成看起来像合法网站。 避免共享个人身份信息、登录凭据或支付数据。
小心缩短的链接
链接缩短器通常用于伪装指向恶意网站的链接。 应避免使用导致缩短链接的二维码。 最好避免来自未知来源的缩短链接。
不要扫描
您始终可以选择不扫描。 直接访问该品牌的网站以查找带有二维码的广告信息。
使用安全应用程序筛选二维码
考虑使用来自受信任的防病毒扫描程序的二维码筛选应用程序。 QR 筛选工具检查 URL 的目标并检查扫描的 QR 码请求的操作。 他们可以提醒您注意潜在的恶意代码。
避免使用第三方二维码扫描应用
避免下载单独的二维码阅读器,因为它们可能是恶意的。 大多数现代手机已经包含一个集成的二维码扫描器。 手机摄像头可以扫描条形码和二维码。
保护您的数据和设备免受恶意二维码的侵害
QR 码可以做的不仅仅是显示一个网站。 QR 码有可能节省时间并帮助您连接到重要的服务。 它们可以成为提供非接触式客户服务体验的便捷方式。
请务必记住,二维码也可用于恶意活动。 移动恶意软件越来越受到关注,因为它变得更具侵入性。 防止妥协的最佳方法之一是避免包括扫描二维码在内的风险活动。
