QR码诈骗:2026年什么不该扫描
QR码出现在停车场、餐厅、电子邮件和信件中,供诈骗者使用。了解QR诈骗的样子、出现在哪里,以及如何在扫描前验证QR码。
· Truvizy Research Team · 8 min read
TL;DR
诈骗者将恶意网址嵌入QR码,将其放置在停车场、餐厅菜单和信件中,覆盖合法的码。在进入前预览网址是唯一的防护, 您的手机仅凭外观无法判断QR码是否安全。不请自来的信件、意外包裹和公共场所的码需要最高程度的怀疑。
QR码在疫情后无处不在, 餐厅菜单、停车计时器、商店橱窗、邮件, 诈骗者注意到了这一点。QR码诈骗,或称「Quishing」,是将恶意网址嵌入QR码,并将其放置或发送到合法码已经存在且人们已学会信任它们的地方。
使Quishing特别危险的是它绕过了标准的安全防护。电子邮件和短信中的链接会被垃圾邮件过滤器和防病毒软件扫描。QR码不会。它们是图像,其内容在您扫描它们且手机显示网址之前是不可见的。
什么是QR网络钓鱼(Quishing)?
Quishing是QR网络钓鱼:诈骗者将恶意网址编码到QR图像中,而不是文字链接。当您扫描码时,您的手机会将您重定向到钓鱼网站、恶意下载或欺诈支付页面。
这种技术特别有效,原因有几个:人们出于习惯信任QR码,网址在扫描前保持隐藏,大多数手机浏览器显示缩短的网址,使恶意域名难以发现,企业网络安全防护通常不分析QR内容。
QR诈骗出现在哪里:6个高风险地点
1. 停车计时器和标志是主要目标。诈骗者在合法的付款码上放置QR贴纸。受害者以为他们在支付停车费;实际上他们是在向诈骗者汇款或在钓鱼网站上输入付款详细信息。
2. 带有QR码的餐厅菜单很脆弱,因为顾客期待在上面扫描。有记录的攻击包括在合法码上贴物理贴纸,或在旁边放置伪造的打印件。
3. 电子邮件和语音诈骗(电话诈骗), 诈骗者越来越多地在电子邮件中使用QR码代替文字链接,知道安全过滤器对图像处理不善。商业电子邮件是首要目标:伪造的发票、供应商更新或财务表格包含用于「验证」的QR码。
4. 信件和邮件, 实体邮件现在被用于传递QR诈骗。它们通常看起来像来自政府机构、银行或服务提供商的官方通知。要求您扫描QR码以「验证您的账户」的不请自来邮件是红旗警告。
5. 配送和包裹通知, 以物理纸条或短信形式发送的伪造包裹通知包含指向钓鱼追踪页面的QR码。
6. 加密货币和投资诈骗, 诈骗者在ATM旁边放置QR码,声称「扫描即可存款」。码重定向到欺诈钱包。
如何在扫描前检查QR码
了解QR码编码了什么的唯一方法是扫描它并在进入前检查网址预览。以下是您的操作协议:
步骤1:使用显示网址预览的扫描器,在进入前显示。大多数标准相机扫描器显示网址。某些专用QR扫描应用程序会直接进入, 避免使用这些。
步骤2:在预览中阅读完整域名。 域名部分是「https://」和下一个「/」之间的部分。对于parking-pay.govsite.com,真实域名是govsite.com,不是parking-pay。
步骤3:询问域名是否符合您的预期。 餐厅QR菜单应该指向餐厅的网站。停车QR码应该指向知名的停车运营商。如果它指向缩短的网址或未知域名, 不要进入。
现实世界QR码的红旗警告
这些迹象表明实体QR码可能已被篡改或替换:
原始码上的贴纸: 翘起停车机或标志上贴纸的角落。诈骗者直接将他们的码贴在合法的码上。
对齐不良或外观损坏: 看起来略微倾斜、起皱,或印在普通纸上并贴在上面的码是可疑的。
意外的情境: 贴在ATM上的QR码、贴在街道电线杆上,或插入不请自来的邮件中,没有合法的情境。
网址与情境不符: 餐厅菜单指向payme-secure.xyz,或停车标志指向parking-verify.net是明显的迹象。
攻击者通过QR诈骗窃取什么
QR诈骗根据目标情境针对不同类型的有价值信息。停车QR诈骗者获取信用卡和支付钱包详细信息。商业QR诈骗通常针对企业凭证进行B2B网络攻击。冒充政府机构的诈骗者获取社会安全号码或护照详细信息。伪造的登录页面收集用户名和密码,以便日后未经授权的访问。
如果您已经扫描了可疑的码
如果您扫描了QR码,感觉有些不对劲:
不要在您所在的页面上输入任何数据,即使它看起来合法。
关闭浏览器并清除浏览数据(设置 > Safari或Chrome > 清除浏览数据)。
在手机上运行安全扫描。 大多数合法的防病毒软件在手机上是免费的。
如果您输入了付款详细信息,请立即致电您的银行或信用卡发行商并冻结卡片。
如果您输入了企业凭证,请立即联系IT并更改密码。通过VPN访问以隔离潜在的入侵。
安全扫描习惯
安全扫描习惯在几次使用后成为自然习惯:
在进入前始终预览网址, 绝不盲目自动进入。
检查公共场所码的物理完整性。 如果有贴纸或篡改的迹象, 不要扫描。
对来自邮件的不请自来QR码保持默认怀疑态度, 不请自来的信件或来自未知联系人。
有疑问时直接输入网址。 如果餐厅或商家有网站,直接输入地址,而不是扫描。
您走到停车计时器前,注意到一个用于付款的QR码。最佳的第一步是什么?
- 扫描它并在进入前验证网址预览
- 扫描它, 停车计时器总是安全的
- 根本不扫描,去找零钱
- 拍一张码的照片稍后扫描
Answer: 扫描并验证网址预览是正确的方法。预览显示码指向哪里。绝不要盲目进入, 始终阅读网址以确认它与合法的停车运营商匹配。
关键要点
- 扫描后始终预览网址, 绝不盲目自动进入
- 检查实体QR码是否有贴纸或篡改的迹象
- 来自邮件或信件中的不请自来QR码是明显的红旗警告
- QR码诈骗绕过大多数垃圾邮件过滤器,因为它们是图像而不是链接
- 有疑问时,直接输入网址而不是扫描
FAQ
扫描QR码是否会让我的手机被感染?
扫描本身是安全的, QR码只是一个链接。伤害发生在您访问它所指向的网址时。某些网站可能利用浏览器漏洞安装恶意软件,无需额外点击,但这种情况很罕见。最大的风险是在钓鱼网站上提供凭证或付款。
如何在扫描前知道QR码是否安全?
您无法知道, QR码在不扫描的情况下不会透露其内容。最佳方法:使用显示网址预览的扫描器,在进入前验证网址,并且只扫描来自已知来源的码。扫描公共场所的码时,请检查是否有物理篡改的迹象或原始码上的贴纸。
如果我已经扫描了可疑的QR码,该怎么办?
不要在您所在的页面上输入任何数据。关闭浏览器。清除浏览缓存和数据。运行安全扫描。如果您输入了凭证或付款数据,请立即更改密码并联系您的银行。
停车付款QR码是合法的吗?
合法的停车付款QR码确实存在,但诈骗者会在上面放置伪造的贴纸。扫描前,请检查物理标志是否有篡改迹象。最好直接找到并输入网址,或使用官方停车应用程序。
餐厅菜单QR码可能有诈骗吗?
可以。有记录的案例包括在真实菜单码上贴贴纸,或在旁边放置伪造的码。在进入前验证网址:它应该匹配餐厅的网站,而不是第三方域名。