假設您收到一封冷冰冰的電子郵件或即時訊息,通知您帳戶中發生了一些付款,並且您將要掃描其中附帶的二維碼。如果是惡意二維碼,這項操作可能會在一瞬間暴露您的銀行帳戶、密碼和個人資料。
Quishing 是一種快速成長的網路攻擊,試圖使用虛假二維碼來竊取用戶的機密資訊。這種策略攻擊主要針對企業負責人和高階主管。根據 Abnormal Security Corp. 的 2024 年報告,高階主管收到的 QR 網路釣魚攻擊是一般員工的 42 倍。商業電子郵件外洩 (BEC) 是一種使用虛假電子郵件進行網路攻擊的流行方法,在 108 年至 2022 年間增加了 2023%。
隨著 二維碼在日常生活中的使用越來越廣泛,虛偽現像日益突出。因此,每個二維碼使用者都必須了解與二維碼相關的惡意活動或做法以及針對二維碼網路釣魚的預防措施。
quishing 或 QR 碼網路釣魚的含義
「Quishing」或 QR 碼網路釣魚是一種精心策劃的嘗試,旨在誘騙 QR 碼用戶訪問惡意連結和網站。掃描並點擊惡意二維碼後,用戶就會被帶到釣魚網站,導致敏感資訊外洩。
消除通常會繞過傳統的安全系統,例如電子郵件安全網關,因為系統將電子郵件中附加的 QR 碼視為無害的圖像。結果,許多二維碼用戶成為電子郵件網路釣魚的受害者。
消除如何運作?
當用戶有意或無意地點擊掃描惡意二維碼時出現的詐騙連結時,消除就會起作用。網路釣魚攻擊的主要目的是竊取個人和財務信息,例如借記卡或信用卡詳細資訊、登入憑證或個人識別資訊。
詐騙者利用使用者的敏感資訊進行財務詐欺、身分盜竊、未經授權的帳戶存取或勒索軟體。他們經常透過印刷傳單和海報、電子郵件和社交媒體平台使用惡意二維碼。
掃描二維碼後,使用者會被帶到虛假網站或連結。受害者通常會被提示輸入敏感訊息,例如使用者姓名、電子郵件、出生日期、銀行詳細資料和帳戶登入密碼。
💡了解更多: QR 圖碼安全
值得關注的關鍵 QR 網路釣魚統計數據
- 使用智慧型手機掃描二維碼的人數迅速增加 是消除率成長的一個重要原因。斯塔斯塔說 近 89 萬美國人使用智慧型手機掃描二維碼 到2022年,這個數字可能會在100年達到2025億用戶。
- 在中國,多達 10億行動裝置用於二維碼支付 。
- 據報道,總數 4.88 年全球智慧型手機用戶將突破 2024 億,佔世界人口的60.42%。
QR 圖碼釣魚也大幅增加。我們來看一些數據:
- 根據 Check Point 軟體技術公司的報告, 印度的二維碼網路釣魚 UPI 詐騙 從 15,000 年的 2022 例增加到 30,000 年的 2023 多例,增加了一倍以上。
- 每天發送超過 3 億封網路釣魚電子郵件,導致二維碼用戶更有可能陷入被淘汰的境地。
- Gmail 每天阻止超過 100 億次網路釣魚嘗試.
- 正如 Pymnts 所解釋的那樣,二維碼佔了超過 佔所有網路詐騙的 20%.
- 根據 IBM預計,2024 年全球平均資料外洩成本將達到 4.88 萬美元,比去年增加 10%,是有史以來最高的。
- 按照 2024 年網路安全漏洞調查 根據 GOV.UK 的數據,網路釣魚仍然是最常見的網路安全漏洞和攻擊類型,針對英國 84% 的企業和 83% 的慈善機構。
我們如何防範二維碼網路釣魚攻擊?
以下是保護您的個人資訊和避免二維碼網路釣魚的關鍵見解。
✅ 切勿接受未經請求的二維碼: 當您不認識寄件者時,請避免掃描電子郵件或社群媒體貼文中附帶的二維碼。不要在公共場所隨意掃描二維碼。請謹慎對待透過電子郵件或社群媒體分享的二維碼,尤其是在您沒有要求的情況下。
✅ 掃描前驗證來源: 即使您認為自己知道來源,在掃描之前也要確認二維碼的真實性。您可以在掃描前透過線上搜尋或直接聯絡公司來驗證寄件者的姓名。
✅ 重新檢查二維碼網址: 等待一段時間,然後按一下掃描二維碼後出現的 URL。重新檢查二維碼 URL,看看它是否與您認識的公司或您希望訪問的網站相符。不要點擊可疑的 URL。
✅ 發現網路釣魚訊號: 將您在電子郵件中收到的二維碼與您 Google 電子錢包或 UPI 帳戶中保存的二維碼進行比較。您可以看到差異,例如圖形錯誤和電子郵件地址差異。避免掃描二維碼,以免產生採取行動的緊迫感或語法錯誤的訊息。
✅ 請注意線上提供的資訊: 不要接受來自未知寄件者的要求您提供個人和財務資訊的電子郵件或簡訊。在提供敏感資訊(例如聯絡電話、出生日期、登入憑證、信用卡詳細資訊等)之前,您必須 100% 確定掃描二維碼是安全的。
企業可以採取一些額外的措施來防止自己被取消,如下所示:
☑️ 實施雙重認證: 電子郵件網路釣魚是最常見的商業威脅。使用雙重因素或 多因素認證 將防止商業電子郵件洩漏 (BEC) 攻擊者入侵商業電子郵件。
☑️ 更新軟體和安全功能: 將您的軟體更新到最新版本,並保留高級安全功能可以幫助您防止網路釣魚攻擊。
☑️ 員工安全意識培訓: 傳授網路安全意識並對員工進行二維碼安全培訓可以幫助企業避免被盜的危險。透過培訓,員工可以學習識別 BEC 嘗試並實施確認 QR 碼或付款請求來源等實踐。
如果組織已經成為壓制的受害者怎麼辦?
假設您的組織已經是二維碼網路釣魚的受害者。您必須採取以下步驟來阻止騙局的進一步傳播或至少減少損失。這是你應該如何做到的。
➡️ 立即刪除二維碼: 立即從您現有的實體和數位空間(包括印刷海報、菜單、社交媒體和網站)中刪除或替換惡意二維碼。這將有助於防止網路釣魚攻擊的進一步升級。
➡️ 緊急通知客戶和員工: 向客戶、業務合作夥伴和員工發出有關網路釣魚攻擊的警報,並清楚解釋情況。透過給予有關如何處理情況的明確指示來建立適當的溝通。及時溝通可以幫助客戶避免財務損失和個人資料被盜,防止公司品牌形像或聲譽受損。
➡️ 辨識詐騙二維碼的來源: 對二維碼的來源及其目標目的地進行徹底評估。透過確定使用者是否被提示造訪網路釣魚網站或下載惡意內容來調查釣魚動機。及時介入和調查可以保護客戶和組織免受進一步的損害。
➡️ 向安全團隊報告此事件: 立即向有關當局報告網路釣魚攻擊。例如,如果您的組織有一個單獨的安全團隊,請在偵測到或意識到消失後立即向該團隊報告事件。組織可以向當地網路犯罪小組提出投訴。當局可以採取適當的對策,防止其他組織面臨相同的事件。
➡️ 溝通問題解決方案: 一旦您的組織解決了問題,請立即通知您的客戶、員工和其他業務利害關係人。您可以向他們更新您處理這種情況的行動。恢復信心並向客戶保證您的組織會支持他們至關重要。
結論
如今,二維碼無所不在,因此被盜的可能性也隨之增加。二維碼用戶在使用二維碼時必須小心謹慎,尤其是在掃描來自不熟悉來源的電子郵件、文字或社群媒體貼文中附加的二維碼時。
企業必須認識到二維碼用於網路釣魚攻擊時的潛在威脅。採取適當的對策將使企業能夠保護自己免受二維碼網路釣魚的侵害。
常見問題
二維碼會帶來安全風險嗎?
是的。二維碼可以將您引導至惡意網站、啟動詐騙下載,甚至觸發危及裝置安全的操作。
quishing 的例子是什麼?
取消的一個例子是,某人收到一封電子郵件,告訴她贏得了一張前往杜拜的免費假期機票或一部 iPhone,並被要求掃描隨附的二維碼以領取。詐騙者使用各種有說服力的資訊來誘騙用戶造訪惡意網站或連結。
釣魚二維碼有哪些跡象?
網路釣魚二維碼的跡象並不總是立即顯而易見。但是,您應該注意以下跡象:
- 物理篡改:如果您發現現有二維碼貼紙上貼有二維碼貼紙,則可能是 QR 圖碼欺騙.
- 可疑的放置位置:在不尋常的地方(例如衛生間內或隨機的公共場所)的 QR 碼可能是可疑的。
- 意外重定向:掃描後,如果您被重定向到陌生的網站或要求輸入敏感訊息,則可能是網路釣魚嘗試。
不小心掃描到釣魚二維碼怎麼辦?
如果您不小心掃描到惡意二維碼,請立即按照以下步驟操作:
- 避免提供個人資訊:掃描二維碼後,如果要求提供個人資訊或付款詳細信息,請立即關閉瀏覽器。
- 清除瀏覽器記錄:這將刪除瀏覽器快取中儲存的所有惡意資料。
- 運行病毒掃描:立即使用防毒軟體掃描您的裝置以消除潛在威脅。
- 更改您的密碼:如果您輸入了任何信息,請立即更改您的密碼,特別是對於任何可能已洩露的帳戶。
你或許會喜歡
二維碼驗票:簡化活動輸入操作
了解如何處理 QR 碼以進行票證驗證 QRCodeChimp的掃描鎖定功能可實現即時票據驗證和更好的條目管理。
透過 SMS 警報和表單的 CRM 整合增強潛在客戶管理
絕不錯過任何線索!啟動簡訊警報和 CRM 集成,以實現即時更新和簡化的工作流程。更快地回應、更好地管理潛在客戶並提高效率。
2025 年透過二維碼驅動的參與優化行銷
透過二維碼驅動的參與,了解 2025 年最具創新性的行銷理念!讓你的新年決心清單以客戶為中心。
多子帳號加強二維碼管理
探索具有多個子帳戶的無縫二維碼管理,以增強團隊協作並簡化工作流程。非常適合希望提高效率的企業。