二维码钓鱼攻击（Quishing）是一种利用二维码（QR Code）进行网络钓鱼的网络安全威胁。随着二维码的广泛应用，这种攻击方式正逐渐成为网络犯罪分子的新手段。

Quishing的工作原理

生成恶意二维码

网络犯罪分子创建恶意二维码，引导用户访问虚假网站或下载恶意软件。这些二维码通过多种渠道传播，包括电子邮件、社交媒体、印刷材料，甚至直接覆盖公共场所的合法二维码。

诈骗过程

一旦用户扫描二维码，就会被引导至一个看似合法的虚假网站，并提示输入敏感信息，如登录凭证、个人数据或财务信息。某些攻击还会导致设备感染恶意软件，进而危及整个网络。

攻击者利用被攻陷的电子邮件账户，通过受害组织的Outlook基础设施发送二维码。扫描后的钓鱼页面通常托管在企业调查服务上，并与Google或亚马逊的IP地址关联。

这些消息的特别之处在于，它们包含二维码，允许用户访问未接语音邮件。这种设计巧妙地避开了安全电子邮件网关和本地安全控制对附件的扫描。

二维码图像大多在发送当天生成，从而降低了因之前报告而被安全黑名单标记的风险。攻击活动中使用了六个不同的配置文件，其中大多数经过精心设计，以吸引目标行业。

近期Quishing攻击案例

在最近的网络钓鱼活动中，网络犯罪分子开始使用二维码替代按钮，将受害者引导至欺诈网站。这些电子邮件没有明文URL，而是通过二维码隐藏链接，增加了安全软件检测的难度。

二维码攻击对移动用户尤其有效，因为他们的设备可能缺乏互联网安全工具的保护。受害者被引导至钓鱼网站后，会被要求输入银行位置、代码、用户名和PIN码。

在输入这些信息后，用户会被告知验证失败，并需要重新输入。这种重复输入的设计旨在防止用户首次输入时的拼写错误。

Quishing的攻击目标

许多网络钓鱼邮件专门针对能源公司，同时也涉及制造业、保险业、科技和金融服务等其他行业。这些邮件中的二维码会将用户引导至伪造的Microsoft 365页面，通常伪装成安全设置更新或多因素认证请求。

一个典型的Quishing攻击案例是伪造电子邮件，其中包含二维码，扫描后会引导用户进入虚假网站以获取个人和财务数据。这种策略成功地将钓鱼攻击从桌面设备转移到了移动设备，从而避开了较弱的反钓鱼防御。

Quishing的风险

个人风险

    个人信息泄露：扫描恶意二维码可能导致个人敏感信息被盗。

    金融欺诈：提供支付信息可能导致直接的经济损失或欺诈。

    恶意软件感染：某些攻击会导致设备感染恶意软件，危及网络安全。

    信任问题：频繁的Quishing攻击可能削弱用户对二维码的信任，影响其合法用途的有效性。

组织风险

    潜在的安全漏洞：如果员工成为钓鱼攻击的目标，未经授权的人可能访问公司网络和敏感数据。

    声誉损害：组织若成为钓鱼攻击的目标或因其系统被攻陷，可能会严重损害其声誉。

    财务损失：除了直接盗窃，企业还可能因补救措施、加强网络安全和潜在的法律后果而蒙受经济损失。

防范Quishing的有效策略

用户教育

    提高用户对二维码潜在风险的认识，教育他们避免扫描来自不明或不可信来源的二维码。

安全的二维码生成

    组织应确保生成的二维码是安全的，并且不能被篡改。

URL验证

    建议在扫描二维码后检查URL，确保其与预期目标一致。某些安全二维码扫描器具有高级安全功能，可以有效识别并标记可疑URL。

多因素认证（MFA）

    对经常成为攻击目标的平台实施多因素认证，可以增加一层额外的安全性。

持续监控

    企业应持续监控其二维码活动，及时发现篡改或滥用的迹象。

信息共享的谨慎

    在扫描二维码后分享信息时，务必仔细检查网页的Logo和完整URL，确保其真实性。