二維碼網路釣魚,或稱為“QR碼網路釣魚”,已經發展得比以往任何時候都更加危險,攻擊者以創新的方式利用這些代碼入侵設備並竊取資料。
據該網站報道 矽膠角網路犯罪分子現在將惡意 JavaScript 程式碼嵌入二維碼中,一旦掃描二維碼,惡意程式碼就會自動執行。更令人擔憂的是,目標用戶甚至無需點擊掃描後出現的鏈接,他們的設備就會被入侵。
這種方法與 二維碼面臨的傳統威脅當使用者點擊掃描後出現的連結時,就會被重新導向到惡意網站。
這種新方法是利用資料URI將HTML和JavaScript直接嵌入二維碼中。這意味著惡意軟體可以完全在瀏覽器中運行,控制登入頁面,監視使用者輸入的內容(鍵盤記錄器),並立即觸發攻擊。
一旦激活,惡意 JavaScript 還可以利用隱藏表單提取資料並建立裝置指紋。更令人擔憂的是,由於惡意軟體嵌入在程式碼本身中,因此在執行期間不會連接到任何外部 URL,因此它可以繞過大多數安全程式、工具和系統。同樣,它也會添加 INKY報告 關於這個主題,眾所周知,攻擊者已經在使用這些新的網路釣魚技術來隱藏他們的身份。 危險的惡意軟體 為了逃避偵查。
如何保護自己免受惡意二維碼的侵害:一份全面的指南
這一點無需贅言,但我們還是要強調: 避免掃描來自未知來源的二維碼絕對不行。若來源不明或令人反感,切勿掃描。網路安全始於謹慎。
如果您收到要求您掃描二維碼以完成某項操作或活動的電子郵件或短信,尤其是在信息語氣緊急的情況下,請務必通過已知的電話號碼、聊天渠道或公司官方聯繫方式直接聯繫發件人,切勿回復發出請求的電子郵件或短信。請務必自行核實對方是否真的要求您掃描二維碼。這是驗證請求真實性、避免成為詐騙受害者的關鍵步驟。
掃描二維碼後,除非您絕對確定所瀏覽的網站是合法網站,否則切勿提供登入資訊或任何其他敏感的個人資訊。即使網址乍看之下沒有問題,也務必仔細檢查。詐騙分子經常使用與原始網址非常相似的網址來欺騙用戶。
同時,您也應該停用行動作業系統或二維碼掃描應用程式中自動開啟瀏覽器的功能。這樣可以防止掃描器在您有機會檢查連結之前就打開連結。此外,請確保您使用的二維碼掃描器會在開啟連結之前顯示網址。這些設定可以提供額外的保護,防止惡意連結。
與所有網路釣魚威脅一樣,對於任何帶有緊迫感或威脅意味的訊息(電子郵件、簡訊或社交媒體),請務必保持高度警惕和懷疑。任何包含停用您的帳戶、採取法律行動、暫停您的帳戶、授予未經授權的存取權限或要求您立即採取行動的威脅訊息,都應視為潛在的攻擊。這些策略在網路釣魚攻擊中十分常見,旨在迫使用戶倉促做出決定。
如果您收到包含二維碼的可疑電子郵件,請立即通知您的 IT 或安全團隊。如果您的個人帳號中出現類似郵件,您可以將其檢舉為垃圾郵件或疑似釣魚郵件。舉報此類郵件有助於保護他人免受詐騙侵害。
鑑於二維碼的巨大普及以及人們在餐廳和其他公共場所掃描二維碼的習慣,我認為這種威脅不會很快消失。希望谷歌和蘋果都能採取措施保護安卓和蘋果用戶免受惡意二維碼的侵害。在這個數位時代,開發強大的保護機制對於保障用戶安全至關重要。
評論被關閉。