二维码钓鱼(Quishing)骗局揭秘 — 如何识别假二维码并保护自己
扫一扫二维码就可能泄露你的个人信息和银行卡号。了解二维码钓鱼骗局的手段,学会识别假二维码,掌握安全扫码的方法。
二维码钓鱼(Quishing)— 扫一扫就可能被骗的新型诈骗
在餐厅扫码点餐,在停车场扫码缴费,扫码查看快递物流信息。这些操作已经成为日常习惯,但如果那个二维码是假的呢?
2025-2026年间,利用二维码的钓鱼攻击每月增长270%,所有钓鱼攻击中有12%包含二维码。现在,连二维码也需要提高警惕了。
什么是Quishing(二维码钓鱼)?
Quishing = QR(二维码)+ Phishing(钓鱼)
传统钓鱼通过微信、短信发送虚假链接,而二维码钓鱼则通过伪造的二维码将你引导至恶意网站。二维码的内容肉眼无法识别,因此比文字链接更具欺骗性。
国内常见的二维码骗局
1. 共享单车/停车缴费假二维码
在正规二维码上贴上假的二维码贴纸
→ 扫码后跳转到假的支付页面
→ 输入银行卡信息后被立即盗取
共享单车、充电桩、停车缴费机上的二维码,被不法分子覆盖假码的案例屡见不鲜。
2. 冒充快递/外卖的假二维码
"您的快递配送异常,请扫码查看详情"
→ 假的快递官网
→ 输入手机号和验证码后账号被盗
通过微信或短信发送的假快递通知中包含二维码,冒充顺丰、京东等平台实施诈骗。
3. 餐厅/商场假扫码点餐
在餐厅桌上的点餐二维码上覆盖假码,跳转到要求输入个人信息的页面。特别是在需要预付款或注册会员的场景中容易中招。
4. 邮件中的恶意二维码
"您的账户需要安全验证 — 请扫描下方二维码"
→ 假的登录页面
→ 公司账户凭证被窃取
FBI已警告,黑客组织正在利用恶意二维码发起攻击,并借助AI/LLM技术制作更逼真的钓鱼内容,越来越难以辨别。
识别假二维码的5个方法
| 序号 | 检查要点 | 具体说明 |
|---|---|---|
| 1 | 是否有贴纸覆盖 | 用手触摸表面,如果有贴纸叠在上面就要警惕 |
| 2 | URL是否与预期域名一致 | 扫码后显示的网址应该是该服务的官方域名 |
| 3 | 是否立即要求输入个人信息或付款 | 扫码后立刻要银行卡号或密码基本都是骗局 |
| 4 | 是否为HTTPS | 网址以http://开头说明没有安全加密 |
| 5 | 是否通过短链接多次跳转 | 多次重定向隐藏最终网址的情况非常危险 |
如何安全地扫描二维码
第一步:使用手机自带相机
用iPhone或安卓手机自带相机扫二维码时,会先显示URL预览,不会直接打开。不要使用会自动打开链接的第三方扫码应用。
第二步:确认URL再打开
仔细查看显示的网址。应该是taobao.com的,结果显示ta0bao-pay.cn?千万别点开。
第三步:不要在扫码打开的页面上付款
扫码跳转的页面要求输入银行卡信息时,直接关闭。请通过官方App或官方网站进行支付。
第四步:使用带URL检测功能的扫码工具
安全类扫码应用可以在打开前检测已知的恶意网址,提供额外保护。
第五步:物理检查二维码
在公共场所看到的二维码,用手摸一摸,确认是否有贴纸覆盖。如果有翘起、错位的痕迹,很可能是假的。
安全的二维码 vs 危险的二维码
安全使用场景
- WiFi分享:咖啡厅、酒店提供的WiFi连接二维码
- 官方点餐:餐厅自有系统生成的菜单二维码
- 可信支付:官方App内生成的支付二维码(微信支付、支付宝)
- LOCK.PUB链接分享:有密码保护、使用可信域名
lock.pub的二维码
危险信号
- 陌生邮件中包含的二维码
- 公共场所不明来源的二维码贴纸
- 来路不明的传单、名片上的二维码
- 微信群或短信中收到的不明二维码
已经扫了可疑二维码怎么办?
不要慌,按以下步骤处理:
- 立即关闭浏览器 — 如果没有输入任何信息,一般不会有损失
- 如果输入了账号密码,立即修改密码
- 如果输入了银行卡信息,立即联系银行冻结卡片
- 检查是否安装了未知应用,发现可疑的立即卸载
- 拨打110报警或向国家反诈中心举报
LOCK.PUB如何安全使用二维码
在LOCK.PUB创建的链接可以生成二维码分享,但与普通二维码有本质区别:
- 密码保护:扫码后仍需输入密码才能查看内容
- 可信域名:始终指向
lock.pub域名,一眼即可辨认 - 自动过期:设定时间到后链接自动失效
- 访问追踪:可以查看谁在什么时候访问过
二维码本身不危险,来源不明的二维码才危险。只扫描可信来源的二维码,扫码前务必先确认URL。
总结
二维码让生活更便利,但也给骗子提供了可乘之机。一次扫码就可能泄露银行卡信息、丢失账号。
扫码之前,花3秒钟确认一下。 这3秒可能保住你的个人信息和钱包。