信息化觀察網(wǎng)

去年就有研究人員發(fā)現(xiàn)了一種新的網(wǎng)絡(luò)釣魚(yú)活動(dòng)，該活動(dòng)利用二維碼將受害者重定向到網(wǎng)絡(luò)釣魚(yú)登陸頁(yè)面，有效規(guī)避了旨在阻止此類(lèi)攻擊的安全解決方案和控制措施。比如去年針對(duì)法國(guó)的網(wǎng)絡(luò)釣魚(yú)攻擊背后的攻擊者就是使用了二維碼編碼的URL來(lái)繞過(guò)分析和阻止可疑的安全軟件。由于二維碼發(fā)布沒(méi)有任何限制，二維碼生成器又隨時(shí)可從網(wǎng)上獲得，因此很容易被一些不法分子利用，發(fā)布虛假信息進(jìn)行欺詐。

目前二維碼騙局主要包括三種形式

1.收款二維碼。攻擊者在正規(guī)二維碼旁邊貼上貼上攻擊者收款的二維碼。用戶(hù)一旦沒(méi)有辨別清楚掃到假的二維碼，就會(huì)跳轉(zhuǎn)至轉(zhuǎn)賬界面。

2.釣魚(yú)網(wǎng)站騙信息。直接轉(zhuǎn)賬容易被警惕性高的用戶(hù)察覺(jué)出貓膩，有些攻擊者制作出高仿官方網(wǎng)站的釣魚(yú)頁(yè)面，以完善身份認(rèn)證等名義誘騙用戶(hù)主動(dòng)填寫(xiě)個(gè)人身份信息和銀行卡資料，從而進(jìn)一步實(shí)施精準(zhǔn)詐騙甚至盜刷網(wǎng)銀。

3.山寨App藏木馬。以共享單車(chē)為例，租用共享單車(chē)必須使用租車(chē)App，攻擊者就設(shè)計(jì)了假租車(chē)App二維碼粘貼在單車(chē)上，提示用戶(hù)“更新”。用戶(hù)掃碼后看似安裝了租車(chē)軟件，其實(shí)手機(jī)卻被植入了木馬。

由于肉眼無(wú)法辨別二維碼真?zhèn)?手機(jī)用戶(hù)在掃碼時(shí)一定要慎之又慎，最最重要的就是千萬(wàn)不要見(jiàn)碼就掃。

其實(shí)，目前來(lái)看，用戶(hù)的帳密信息不一定是最有價(jià)值的，反而是用戶(hù)的一些衣食住行、健康狀況、財(cái)務(wù)信息等信息更有價(jià)值。因?yàn)橥ㄟ^(guò)這些消費(fèi)數(shù)據(jù)能夠完整的跟蹤一個(gè)人，全面分析一個(gè)人。

很多人并沒(méi)有意識(shí)到，其實(shí)你的個(gè)人信息、數(shù)據(jù)往往在不經(jīng)意間便已經(jīng)被泄露。比如，在公共場(chǎng)所連接免費(fèi)wifi，掃描促銷(xiāo)二維碼等，可能會(huì)導(dǎo)致你的流量被劫持、中間人攻擊、手持終端的入侵。

需要注意什么，以及如何保護(hù)自己免受這些惡意二維碼的攻擊？

二維碼的促銷(xiāo)成本很低，幾乎可以應(yīng)用于任何地方，這就是為什么從零售到醫(yī)療保健的所有行業(yè)現(xiàn)在都在使用它們作為連接人們到網(wǎng)站、促銷(xiāo)活動(dòng)、商店折扣、病人醫(yī)療記錄、移動(dòng)支付和其他很多東西的快捷而簡(jiǎn)單的方式。

二維碼不僅僅是成本效益高、使用方便。它們也是必不可少的，特別是在疫情大流行期間，非接觸式交易已成為常態(tài)。此外，現(xiàn)代幾乎人手擁有一部智能手機(jī)，而且?guī)缀跛械闹悄苁謾C(jī)都能讀取二維碼，不需要第三方應(yīng)用。

MobileIron最近為了更好地了解當(dāng)前二維碼的發(fā)展趨勢(shì)，所以在9月份，專(zhuān)門(mén)針對(duì)美國(guó)和英國(guó)的2100多名消費(fèi)者進(jìn)行了一項(xiàng)跟蹤調(diào)查，結(jié)果證明了二維碼確實(shí)在當(dāng)今得到了更廣泛的應(yīng)用。例如，在過(guò)去的六個(gè)月里，超過(guò)三分之一的手機(jī)用戶(hù)在餐館、酒吧、零售商或消費(fèi)品上掃描二維碼。

關(guān)于MobileIron

MobileIron通過(guò)業(yè)界第一個(gè)針對(duì)無(wú)處不在的企業(yè)(Everywhere Enterprise),并以移動(dòng)設(shè)備為中心的安全平臺(tái),重新定義企業(yè)安全性。在無(wú)處不在的企業(yè)中,公司數(shù)據(jù)可在云中的設(shè)備和服務(wù)器之間自由流動(dòng),從而使工作人員在任何需要的地方都能高效地工作。為了在這種無(wú)邊界的企業(yè)中實(shí)現(xiàn)安全訪問(wèn)并保護(hù)數(shù)據(jù),MobileIron采用了“零信任”方法,該方法假定網(wǎng)絡(luò)中已經(jīng)存在不良行為者,并且安全訪問(wèn)由“永不信任、始終驗(yàn)證”模型來(lái)確定。

調(diào)查結(jié)果還顯示了一些令人擔(dān)憂(yōu)的趨勢(shì)：手機(jī)用戶(hù)并不真正了解二維碼的潛在風(fēng)險(xiǎn)，近四分之三(71%)的受訪者分不清合法二維碼和惡意二維碼。與此同時(shí)，超過(guò)一半(51%)的被調(diào)查用戶(hù)在他們的設(shè)備上沒(méi)有或不知道他們是否有移動(dòng)安全保護(hù)程序。

二維碼似乎永遠(yuǎn)都是我們生活的一部分，但我們并沒(méi)有過(guò)多地考慮它。移動(dòng)設(shè)備已經(jīng)使我們習(xí)慣于在工作、購(gòu)物、吃飯等其他事情分散我們的注意力時(shí)，采取快速的行動(dòng)：滑動(dòng)→點(diǎn)擊→點(diǎn)擊→支付。

這正是黑客賴(lài)以生存的隱性信任和輕率行為，這就是為什么如果移動(dòng)員工正在使用其個(gè)人設(shè)備訪問(wèn)業(yè)務(wù)應(yīng)用程序并掃描可能存在風(fēng)險(xiǎn)的二維碼，則企業(yè)IT部門(mén)應(yīng)開(kāi)始更加仔細(xì)地研究其移動(dòng)安全方法。

那么，二維碼到底有哪些風(fēng)險(xiǎn)呢？

破解一個(gè)真正的二維碼需要一些技巧才能改變代碼矩陣中的像素點(diǎn)，為此黑客們找到了一種簡(jiǎn)單的方法，比如在二維碼(可由互聯(lián)網(wǎng)上廣泛使用的免費(fèi)工具生成)中嵌入惡意軟件。對(duì)于普通用戶(hù)來(lái)說(shuō)，這些代碼看起來(lái)都一樣，但是一個(gè)惡意的二維碼可以把用戶(hù)重定向到一個(gè)虛假的網(wǎng)站。它還可以捕獲個(gè)人數(shù)據(jù)或在智能手機(jī)上安裝惡意軟件，從而啟動(dòng)如下操作：

添加聯(lián)系人列表：黑客可以在用戶(hù)的手機(jī)上添加新的聯(lián)系人列表，并使用它來(lái)發(fā)起魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)或其他個(gè)性化攻擊。

1.發(fā)起電話(huà)呼叫：通過(guò)觸發(fā)向詐騙者的呼叫，這種類(lèi)型的利用可將電話(huà)號(hào)碼暴露給攻擊者。

2.向某人發(fā)送短信：除了向惡意收件人發(fā)送短信外，用戶(hù)的聯(lián)系人還可能從詐騙者那里收到惡意短信。

3.編寫(xiě)電子郵件：與惡意文本類(lèi)似，黑客可以起草電子郵件并填充收件人和主題行。如果設(shè)備缺乏移動(dòng)威脅防護(hù)，黑客可能會(huì)以用戶(hù)的工作電子郵件為目標(biāo)。

4.付款：如果二維碼是惡意的，則可能使黑客自動(dòng)發(fā)送付款并盜取用戶(hù)的個(gè)人財(cái)務(wù)數(shù)據(jù)。

5.顯示用戶(hù)的位置：惡意軟件可以悄無(wú)聲息地跟蹤用戶(hù)的地理位置并將此數(shù)據(jù)發(fā)送到應(yīng)用程序或網(wǎng)站。

6.關(guān)注社交媒體賬戶(hù)：用戶(hù)的社交媒體賬戶(hù)可以被引導(dǎo)去關(guān)注一個(gè)惡意賬戶(hù)，從而暴露用戶(hù)的個(gè)人信息和聯(lián)系方式。

7.添加首選的Wi-Fi網(wǎng)絡(luò)：可以將受感染的網(wǎng)絡(luò)添加到設(shè)備的首選網(wǎng)絡(luò)列表中，其中包括一個(gè)能自動(dòng)將設(shè)備連接到該網(wǎng)絡(luò)的憑證。

其實(shí)我們可以做一些簡(jiǎn)單的防御措施來(lái)最小化二維碼攻擊風(fēng)險(xiǎn)

這些攻擊行為雖然可怕，但并非不可避免。讓用戶(hù)了解二維碼的風(fēng)險(xiǎn)是很好的開(kāi)始，但企業(yè)還需要加強(qiáng)其移動(dòng)安全防護(hù)，以抵御魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)和設(shè)備接管等威脅。

用戶(hù)可以做什么來(lái)預(yù)防二維碼攻擊？

首先，請(qǐng)好好查看一下：確保二維碼是合法的，尤其是打印出來(lái)的二維碼，因?yàn)檫@些二維碼可能會(huì)被粘貼上另一種潛在的惡意碼。

僅掃描來(lái)自可信對(duì)象的代碼：移動(dòng)用戶(hù)應(yīng)堅(jiān)持僅來(lái)自可信發(fā)件人的掃描代碼。請(qǐng)注意危險(xiǎn)標(biāo)記，例如網(wǎng)址與公司URL不同的網(wǎng)址，它很有可能重定向到惡意網(wǎng)站。

注意bit.ly（短網(wǎng)址）鏈接：檢查掃描二維碼后顯示的bit.ly鏈接的URL，這些鏈接通常用于偽裝惡意URL，但是可以通過(guò)在URL末尾添加一個(gè)加號(hào)（“+”）來(lái)安全地預(yù)覽它們。

公司可以做什么來(lái)預(yù)防二維碼攻擊？

希望公司盡快使用設(shè)備上的移動(dòng)威脅防御解決方案，該解決方案可以防御網(wǎng)絡(luò)釣魚(yú)攻擊，設(shè)備接管，中間人攻擊和惡意應(yīng)用下載。如果沒(méi)有，請(qǐng)立即開(kāi)始尋找。公司需要確保將其部署在訪問(wèn)業(yè)務(wù)應(yīng)用程序和數(shù)據(jù)的每臺(tái)設(shè)備上。

如果你什么都不做，那么現(xiàn)在該考慮消除基于密碼的業(yè)務(wù)和云應(yīng)用程序訪問(wèn)了，這是當(dāng)今數(shù)據(jù)泄露的主要原因之一。通過(guò)轉(zhuǎn)向無(wú)密碼多因素身份驗(yàn)證，您不僅避免了密碼被盜的威脅，而且還消除了維護(hù)密碼的麻煩，這使每個(gè)人（除黑客之外）都更加快樂(lè)和高效。