二维码钓鱼骗局正在上升

ZDNET AI··作者 Charlie Osborne

关键信息

文章指出,quishing 攻击不仅出现在电子邮件里,也开始藏在恶意 PDF 附件中,甚至出现在海报或假名片等现实场景里。文中还引用 Hoxhunt 的《2026 年钓鱼趋势报告》称,二维码钓鱼同比增长 25%,而 Microsoft Defender 观察到二维码相关活动在最近几个月里从全部钓鱼活动的 10% 增长到 30%。

资讯摘要

ZDNET 提醒读者,电子邮件或附件里的二维码可能不是方便的跳转工具,而是骗局的一部分。文章解释说,“quishing”即基于二维码的钓鱼,会把恶意链接隐藏在二维码中,因此比普通文本链接更难被安全工具直接检查。攻击者通常会利用紧迫感、恐惧、贪婪或奖励诱导用户扫描二维码并打开目标页面。这个目标页面往往伪装成银行、社交平台或工作服务的登录页,但实际上是用来窃取凭据的克隆网站。

受害者一旦输入登录信息,攻击者就可能捕获密码和会话令牌,从而绕过 MFA 并接管账户。文章指出,这种威胁正在线上和线下同时扩散,二维码不仅出现在电子邮件里,也出现在 PDF、海报和假名片中。文中引用 Hoxhunt 的《2026 年钓鱼趋势报告》称,二维码钓鱼攻击同比增长了 25%,而 Microsoft Defender 还观察到二维码相关活动在最近几个月里从全部钓鱼活动的 10% 增长到 30%。文章将 quishing 视为钓鱼战术转变的一部分,与 adversary-in-the-middle 攻击等规避传统防护的手法一起构成更大的威胁。

二维码钓鱼骗局正在上升

资讯正文

关注 ZDNET:在 Google 上将我们添加为首选来源。ZDNET 的要点

你电子邮件或附件中的二维码可能是骗局。

二维码钓鱼能够绕过 MFA,导致数据被窃取。

quishing 攻击如何运作,以及你可以做些什么来保持安全。

你是否曾在收件箱里收到一个二维码,并且好奇心战胜了你?当我们想到网络钓鱼和诈骗时,许多最古老的伎俩仍然是我们每天都会遇到的——声称我们有失散多年的亲戚给我们留下了遗产的电子邮件;来自“Facebook”的警告,说除非我们立即回复,否则账户将被冻结;假的彩票中奖通知;以及所谓投资者发来的、愿意向我们转账数百万美元的烦人推销信息。

不过,时代正在变化。招聘诈骗正变得越来越复杂,足以诱使求职者上钩;AI 正被用来让钓鱼尝试更像真人、提升其效果,甚至自动化整个攻击链;而现在,一种新的攻击向量正在出现,它利用二维码绕过多因素认证(MFA),窃取我们的数据,并劫持我们的账户。

Quishing:二维码欺诈正在上升

Quishing,也就是基于二维码的网络钓鱼,会把恶意链接嵌入二维码中,从而绕过传统钓鱼过滤器并穿透安全防线。诱饵还是老一套:制造紧迫感,利用我们的贪婪,植入恐惧和恐慌,或者承诺只要用手机扫描二维码并点击其中嵌入的链接,就能访问某个在线页面或平台获得奖励。

二维码钓鱼可以有多种形式。可能是一条来自你银行的假消息,一封祝贺你赢彩票的电子邮件,或者一条来自社交媒体服务提供商的紧急通知。一旦你扫描了二维码并点击链接,你就可能进入一个专门用来窃取你数据、或危及你所拥有账户的域名。

根据 Hoxhunt 的《2026 Phishing Trends Report》,通过电子邮件发送的基础二维码钓鱼消息正在减少,但它们又以一种隐藏在诈骗邮件附件中的攻击向量重新出现,例如恶意 PDF。

总体而言,二维码钓鱼攻击同比增长了 25%。而且这不仅发生在数字空间;根据该报告,二维码也出现在实体空间中,比如被嵌入海报,或被印在伪造的名片上。

攻击者如何躲避 MFA 防御

Hoxhunt 的研究得到了谷歌 Trust & Safety 团队在 6 月发布的一则通知的支持。该通知警告称,传统电子邮件攻击向量正被 adversary-in-the-middle(AITM)和 quishing 攻击所取代。

Quishing 会与 AITM 配合,通过将恶意链接伪装成一种安全过滤器难以读取或检测的格式来实施攻击。根据谷歌和微软的说法,其运作方式如下:你收到一封 quishing 电子邮件,而你的好奇心促使你去扫描该二维码。

然后,你会被引导到一个克隆网站,看起来像是某个受信任服务的域名,例如银行、金融服务提供商,甚至是工作平台。另请参见:如何免费制作二维码

随后,你提交自己的凭据,从而让攻击者绕过现有的多因素身份验证(MFA)保护,因为你以为自己是在登录一个可信网站。攻击者随后就能截获你的密码和会话令牌,进而导致数据被窃取、账户被攻陷,等等。对于企业来说,这种手法比传统网络钓鱼更危险的原因在于,受害者是用手机扫描二维码,这绕过了基于网络的安全措施和安全网,例如钓鱼检测。

Microsoft Defender 团队注意到,近期基于二维码的网络犯罪活动在全部钓鱼活动中的占比已从 10% 增长到 30%。

如何避免落入二维码钓鱼陷阱

由于二维码会以类似图片的格式隐藏目的地、链接和内容,我们无法直接看出其中包含什么,也很难轻易验证其来源——这就是为什么盲目扫描并跟随二维码是有风险的。

二维码,尤其是那些你并未预期会收到的二维码,应当像对待电子邮件中的链接或附件一样保持怀疑。仅仅因为形式不同,钓鱼的本质并没有改变:诱骗或利用受害者的好奇心,引导他们点击并访问恶意在线资源。这里只是投递方式不同——不是直接给出链接或文件,而是让受害者用相机去扫描。

另请参见:最好的恶意软件清除软件:经过专家测试和评测

最好的建议就是保持谨慎。如果你收到一封带有二维码、看起来像来自银行的电子邮件,请在单独的标签页中访问你银行的官方网站,或者打开银行的移动应用。即使一条消息看起来很可信,出于安全考虑,除非你完全确信来源合法且消息内容安全,否则不应点击链接、打开附件或扫描二维码。

还要记住,二维码威胁并不局限于电子邮件。你有没有在最喜欢的商店附近的路灯杆上看到过一张二维码贴纸?即便是实体二维码贴纸,也可能对你的隐私和安全构成严重威胁。

来源与参考

  1. 原始链接
  2. Is that QR code a trap? How to spot quishing scams before it's too late

收录于 2026-07-14