二維碼安全報告——帶你揭秘各種掃碼騙局

隨著互聯網的快速發展，二維碼的身影頻繁的出現人們的各種生活場景中，如：報紙、雜誌、商場、網站等。人們的生活離不開二維碼，它改變了人們的生活方式。二維碼在給我們的生活帶來便捷的同時，其存在的安全隱患也逐漸突顯，如釣魚網站、手機病毒、惡意程序等正通過二維碼進行四處傳播。

一、二維碼基本原理

二維碼，又稱二維條碼，它是用特定的幾何圖形按一定規律在平面（二維方向）上分佈的黑白相間的圖形，是所有信息數據的一把鑰匙。用戶只需要拿出相應設備，如手機APP中的「掃一掃」功能，以及專業的二維碼掃描工具，就可以對二維碼進行識別，然後進行相應操作。

主要功能包括（不限）：

➢ 信息獲取（名片、地圖、WiFi密碼、資料）

➢ 網站跳轉（跳轉到微博、銀行網站、手機網站）

➢ 廣告推送（用戶掃碼，直接瀏覽商家推送的視頻、音頻廣告）

➢ 手機電商（用戶掃碼、手機直接購物下單）

➢ 防偽溯源（用戶掃碼、即可查看生產地；同時後台可以獲取最終消費地)

➢ 優惠促銷（用戶掃碼，下載電子優惠券，抽獎）

➢ 會員管理（用戶手機上獲取電子會員信息、VIP服務）

➢ 手機支付（掃描商品二維碼，通過銀行或第三方支付提供的手機端通道完成支付）

二、二維碼安全隱患

二維碼作為一種信息載體，其實本身並不含病毒。只是不法分子利用二維碼這種工具來廣泛實施惡意行為，導致用戶的經濟利益和個人隱私遭受損害。目前二維碼的安全問題主要存在以下幾方面：

1）二維碼內藏惡意URL（網址）

目前，大多數二維碼承載的內容是一個URL，而現在的掃描軟體往往不會對鏈接的安全性進行檢測，惡意網址往往指向掛馬網站、釣魚網站、惡意軟體安裝鏈接等。用戶一旦點擊安裝，手機就會感染病毒，有些甚至不需要安裝就會中毒。另外，不法分子還會將跳轉的網址偽裝成官方網站，利用「釣魚」的方式盜取用戶賬號、密碼等信息，給用戶的隱私安全和財產安全帶來巨大的危害。

2）二維碼內含用戶個人信息

很多人喜歡將自己出行時購買的飛機票、火車票等截圖曬到網上去，安全意識稍強一點的人會遮擋住姓名、身份證號等信息，但是他們卻不知道車票上的二維碼已經暴露他們的信息。不法分子通過專業的讀取軟體或設備，便可以輕易讀取車票上的二維碼獲取購票人的個人信息，包括姓名、身份證號、出行時間、電話等信息，利用這些信息便可以針對購票人進行電信詐騙、騙辦信用卡、手機卡，甚至進行勒索等犯罪活動。

3）二維碼自身安全性不足

「二維碼」在技術層面上存在安全問題，網上銀行可以利用數字簽名、SSL、UBS key等手段來保護賬戶的安全性、保密性和不可否認性，但是手機終端的運行能力和存儲空間與電腦終端不同，複雜的認證過程並不適用於網路環境。目前的手機支付終端在完成二維碼掃描后，一般只要求輸入支付密碼或者簡訊驗證碼，甚至可以通過簡訊重置密碼，這種支付過程的驗證方式過於單一，存在簡訊劫持、篡改密碼等問題。

三、二維碼詐騙案例

（一）共享腳踏車現詐騙「二維碼」

北京海淀區的紀先生在使用摩拜腳踏車時，發現除了釘在車上的「掃碼騎走」二維碼以外，車上還新貼了其他兩個二維碼，紀先生以為是摩拜新添了功能，隨即掃描了新貼的二維碼，手機卻彈出了收款頁面，需要使用者輸入付款金額。紀先生意識到，這可能是有人借著摩拜腳踏車的「掃碼取車」功能設置的騙局，「因為摩拜腳踏車有充值車費的設置，如果使用者不小心掃到了新貼上的兩個二維碼，很可能稀里糊塗地就被騙錢了」。

瑞星安全專家提醒：如果掃描了假冒的共享腳踏車二維碼，輕則被騙取錢財或被營銷號騙粉，重則手機將會中毒，手機中的通訊錄、相冊、簡訊等重要隱私信息將被盜取。

（二）「二維碼」詐騙盯上了水費催繳單！

小劉在自家門上發現了一張水費催繳通知單，「截止到XX年XX月XX日，您已欠水費金額XX元，逾期不交將按欠費額度加收滯納金」，上面還印有支付寶二維碼，乍一看就跟真的水費繳費通知單一樣，上面除了印有「水利」四個字的二維碼外，通知單上還煞有介事地附上了營業區域管理員的姓名和工號編碼。小劉說自己一直是通過支付寶繳水費的，「網上都有繳費記錄，根本就不會出現欠費的情況，這應該是有人冒充自來水集團發的詐騙二維碼。」

瑞星安全專家提醒：正規的水費繳費通知單上應包含用戶編號、地址、用水量和水費金額等信息，而這張催繳單根本沒有這些信息，自來水公司提示，如果用戶欠費，根據規定是不會收取任何滯納金，用戶只需要按照個人編碼顯示的情況繳納水費即可。所以上面這個水費催繳單是以二維碼進行詐騙的冒牌貨。

（三）超市掃碼贏禮盒，支付賬戶被掏空

金小姐在超市購物時，被一個推銷人員攔住，向其推薦一個不知名的品牌，稱「掃二維碼」就能免費贈送商品。金小姐心想，舉手之勞不要白不要，便順手掃了。不曾想，幾天內金小姐手機內某支付工具上的賬戶被一掃而空，近千元的錢財不翼而飛。

瑞星安全專家提醒：犯罪分子利用了人們愛佔小便宜的心理，通過各種方式誘導受害者掃描自己提供的二維碼。受害人在不知情的狀態下登錄預設網站自動下載木馬病毒，導致個人信息、網銀密碼被竊取。

（四）火車票二維碼隱藏用戶隱私信息

據包頭鐵路民警介紹，如果在以前，車票不涉及個人信息安全問題，旅客將車票隨意丟棄是可以的。但如今火車票實名制以後，在車票右下角，有一個正方形的二維碼。這個小正方形里隱藏著旅客的重要信息，包括火車票號、開車時間以及身份證號的完整信息。如果火車票落入到不法分子手裡，旅客的個人信息將會面臨被泄露以及被利用的風險。

瑞星安全專家提醒：用過的火車票不可隨意丟棄，建議大家帶回家妥善保管。如果要丟棄火車票，應將個人信息和二維碼徹底撕毀，或者用筆將二維碼塗黑后再丟棄。

四、二維碼安全防範建議

（一）、不要見「碼」就掃，一般情況下，正規的報紙、雜誌以及各大商場海報上的二維碼是安全可靠的，但對於街頭及網上發布的不明來歷的二維碼需要提高警惕。

（二）、掃描二維碼后，應仔細檢查頁面上的所有文字，如需安裝新的應用程序時，則不要輕易安裝。安裝請諮詢使用過的用戶，一般情況下，正規應用程序，也可到官網進行下載。

（三）、下載專業的殺毒工具。如：瑞星手機安全助手，一旦發現病毒，可及時進行有效攔截。

（四）、下載所需安全工具時，到正規的網站或是官方網站進行下載，不要隨意到手機論壇以及無安全檢測的電子市場下載。

（五）、不要在朋友圈或網上隨便曬登機牌或車票等這類票據票根，提高個人安全意識。

（六）、學會利用法律維護個人的合法權益。當我們的個人信息受到非法侵害時，首先可以選擇向公安機關報案，要求追究行為人的刑事責任。

（七）、關注瑞星官方微信，微信號：「瑞星（Weixin-Rising ）」，掌握更多反詐騙安全防範技巧。