您的位置:
文學城
» 博客
»關於虛假二維碼詐騙
關於虛假二維碼詐騙
掃描 QR 代碼總是安全的嗎?
盡管二維碼(QR Code)已經存在超過25年,自疫情開始以來,它們在日常生活中的使用急劇增加。但二維碼是否總是安全可掃描的呢?
大多數人在餐廳掃描二維碼查看菜單或輸入信用卡信息支付餐費時,往往不會多加思考。然而,騙子開始利用我們對二維碼的信任進行詐騙。
自2022年初以來,虛假二維碼詐騙正在增加。這些騙局會劫持通常安全的二維碼,將用戶引導到釣魚網站,竊取財務信息,甚至造成更嚴重的後果。
如何判斷二維碼是否安全?
那麽,如何判斷二維碼是否安全可掃描?如果你認為自己掃描了被篡改的二維碼,該怎麽辦?
虛假二維碼詐騙是如何運作的?
任何人都可以使用多種免費的在線工具創建二維碼。這讓企業能夠輕鬆使用二維碼,但同樣也為騙子提供了便利。
要創建二維碼,企業隻需使用在線二維碼生成器,輸入他們想要引導客戶訪問的網址——例如菜單、登錄頁麵、調查或支付處理器。該程序會生成一個唯一的二維碼,客戶掃描後會自動被引導到二維碼創建者指定的頁麵。
然而,如果網絡犯罪分子篡改或替換了二維碼,情況就會變得不同。
二維碼詐騙利用了人眼無法“讀取”二維碼這一事實——因此我們需要相信二維碼會將我們引導到正確的網址或執行其預期功能。
但由於創建二維碼非常簡單,騙子可以用他們自己的虛假二維碼替換合法的二維碼。這些“假”二維碼會將你重定向到惡意網站,目的是竊取你的敏感信息。在你不知情的情況下,你可能會將信息輸入一個假的支付終端或一個看似可信的登錄頁麵。
騙子會將他們的二維碼放置在人們通常期望找到二維碼的地方——例如在餐館或甚至在電子郵件中——然後等待有人掃描該二維碼。
掃描虛假二維碼會發生什麽?
首先,技術上並不存在“虛假”二維碼。二維碼本身並不危險——問題在於它們的使用方式可能帶來風險。
二維碼不僅僅會將你引導到某個網址。實際上,騙子利用二維碼有幾種不同的方法來竊取你的個人信息或實施欺詐:
-
你可能被引導到“釣魚網站”:騙子創建的頁麵看起來和你期望的非常相似,然後他們要求你輸入敏感信息。但任何你輸入的內容——例如姓名、聯係方式、信用卡號碼——都會直接發送給騙子,用於盜取你的身份。
-
你的設備可能感染惡意軟件:二維碼還可以下載惡意軟件到你的設備上,例如惡意軟件、勒索軟件和木馬病毒。這些病毒可以監視你,竊取你的敏感信息或文件(如照片和視頻),甚至可以加密你的設備,直到你支付“贖金”為止。
-
二維碼可能從你的賬戶發送電子郵件:二維碼不僅會引導你訪問網站。騙子還可以編程讓二維碼打開支付網站、關注社交媒體賬戶,甚至發送預先編寫的電子郵件。例如,如果你掃描了惡意二維碼,它可能會從你的賬戶編寫並發送電子郵件。騙子可以通過二維碼實施各種釣魚攻擊,甚至可能毀壞你的聲譽。
將近50%的人表示他們在餐館、酒吧、咖啡館和商店掃描二維碼時感到最安全,這就不難理解為什麽人們會輕易成為騙局的受害者。
那麽,在掃描二維碼時,應該在哪些地方最為謹慎呢?
最新的9種二維碼詐騙手段:
- 停車收費表上的二維碼詐騙
- 釣魚郵件中發送的虛假二維碼
- 餐館中的篡改二維碼
- 通過郵寄發送的虛假二維碼
- 意外包裹上的二維碼
- 假冒COVID-19檢測中心的二維碼
- 通過社交媒體發送的二維碼
- 加密貨幣二維碼詐騙
- 假冒的二維碼掃描應用程序下載惡意軟件
在掃描二維碼之前,請確保你沒有落入這些常見的詐騙陷阱。
- 停車收費表和其他非接觸支付中的二維碼詐騙
二維碼最常見的用途之一是讓顧客快速支付商品和服務,如餐費或停車費。但任何放置在公共場所的二維碼都會為騙子提供理想的詐騙機會。
當毫無防備的受害者掃描二維碼時,他們會被引導到一個看似官方的支付頁麵進行停車支付。但當他們輸入信用卡信息時,信息被發送給騙子,騙子隨後可以用這些信息進行欺詐性購買,甚至在暗網出售受害者的個人數據。
根據調查,掃描二維碼的美國智能手機用戶數量將從2022年的8340萬增加到2025年的9950萬。這使得二維碼支付詐騙成為騙子的主要手段之一。
為了保護自己免受此類詐騙的侵害,千萬不要通過二維碼支付,尤其是當二維碼放置在公共場所時。務必仔細檢查請求你支付信息的網站URL(如果你在餐館裏,可以詢問服務員)。
二維碼支付詐騙的警示信號:
- 二維碼位於公共場所或易於被篡改的地方。
- 支付頁麵有假網站詐騙的跡象,如語法錯誤、設計粗劣或不尋常的URL。
- URL名稱與你期望的不同,或它不是“安全”的網站。(安全網站使用HTTPS,而非HTTP,並會在URL旁顯示一個掛鎖圖標。)
相關信息:我被黑了嗎?如何識別並從黑客攻擊中恢複 ->
- 釣魚郵件中發送的虛假二維碼
對於任何通過電子郵件發送的二維碼要保持警惕。雖然大多數電子郵件服務可以檢測並警告你有關惡意鏈接和附件,但它們無法對惡意二維碼做出同樣的反應。
這些詐騙通常涉及接收一封未經請求的電子郵件,其中包含一個二維碼,需要“查看”某個文檔、發票、圖片或其他吸引收件人的內容。
例如,騙子經常發送“支付失敗”的電子郵件,其中包含一個二維碼。
這些詐騙聲稱來自你信任的零售商,如亞馬遜或沃爾瑪。郵件會聲稱你最近的一筆購買沒有成功,並要求你掃描二維碼以完成交易。
但同樣,如果你輸入你的信用卡信息,它會直接發送給騙子。
一般來說,不要掃描通過電子郵件發送給你的二維碼。如果你認為在線購買沒有成功,請直接登錄公司的官方網站,而不是使用二維碼。
二維碼釣魚郵件詐騙的警示信號:
- 任何嵌入在未經請求的電子郵件中的二維碼都可能是詐騙。如果你不認識發件人,請不要掃描二維碼。
- 詐騙郵件的典型警示信號也是二維碼詐騙的指示,如來自通用域名(Gmail、Yahoo等)、域名中的拚寫錯誤(“WALMRAT”與“WALMART”)以及使用緊急或威脅性的語言等。
- 電子郵件涉及你沒有的、沒有請求過的或最近未使用的交付、購買或賬戶。
- 你收到一封來自朋友或聯係人的電子郵件,其中嵌入了二維碼。騙子可以利用被黑的電子郵件賬戶,從更容易讓你信任的收件人那裏發起釣魚攻擊。
- 餐廳中的篡改二維碼
餐廳是美國人使用二維碼最常見的場所之一。大多數餐廳和酒吧使用二維碼讓顧客查看菜單,甚至下單和支付餐費。
騙子可以將這些二維碼替換為重定向到釣魚網站的二維碼,從而竊取你的個人信息。
如果你對餐廳的二維碼有任何疑慮,請詢問工作人員。向他們展示網站和URL,並詢問其是否正確。為了更確保,使用手機瀏覽器手動訪問餐廳的網站,並僅在現場付款。
餐廳中虛假二維碼的警示信號:
- 注意二維碼是否有被篡改、替換或覆蓋成假冒版本的跡象。
- 二維碼位於不尋常的位置。對於那些容易移動的二維碼特別要保持警惕——例如放在餐巾紙架上的二維碼,或在桌子上找到的二維碼貼紙。
- 你被引導到的網站顯示出釣魚網站的跡象——比如缺少網站的品牌標識,或者注冊賬戶時要求提供過多信息(地址、電話號碼、信用卡信息等)。
- 郵件中發送的虛假二維碼(調查、抽獎等)
騙子有時會發送包含二維碼的實體郵件,聲稱提供贈品、獎品或即時優惠券。但這些郵件很可能是詐騙。
將實體垃圾郵件視為與你郵箱中的垃圾郵件相同。如果你不認識發件人,請不要點擊(或掃描)任何鏈接。如果是合法公司提供的折扣或特別優惠,請直接訪問他們的網站確認。
垃圾郵件中二維碼詐騙的警示信號:
- 任何帶有二維碼的未經請求的郵件都有可能是潛在的詐騙,尤其是來自債務整合服務的郵件。
- 郵件提供的優惠好得令人難以置信,例如奢侈品的大幅折扣、保證貸款或融資利率。
- 消息營造緊迫感(“僅限今天!”)或威脅(“將會對你發出逮捕令”),試圖促使你采取行動。
- 要求你參與來自亞馬遜的調查。該公司不會通過郵件發送調查。
- 意外包裹上的二維碼
騙子需要製造好奇心,以繞過你的懷疑。而他們最簡單的方法之一就是向你郵寄產品。
在這種騙局中,詐騙者會向你發送一件來自亞馬遜或其他在線零售商的產品(也稱為“刷單”騙局),而你並沒有下過訂單。在包裝內部或外部,你會看到一個二維碼,上麵寫有關於如何退貨(或了解更多訂單信息)的“說明”。
如果你掃描這個二維碼,它會帶你到一個釣魚網站,捕獲你的個人信息,如姓名、地址、亞馬遜賬戶信息,甚至你的信用卡號碼。
這種二維碼詐騙的另一種形式是在你家門口留下一張“未送達包裹”的通知,上麵有一個二維碼,用於重新安排“你的”送貨。當你掃描二維碼時,你需要選擇輸入個人信息或支付額外的運費。
如果你收到一個你沒有預期的包裹,請保持警惕,並向聯邦快遞和UPS報告詐騙。
二維碼包裹詐騙的警示信號:
- 你收到了一個意外的包裹——即使上麵有你的姓名和地址。
- 包裹要求你掃描二維碼來生成退貨標簽。如果它聲稱來自你使用的亞馬遜或其他零售商,請訪問他們的網站查看你的曆史訂單。
- 當你掃描二維碼時,所跳轉的網站URL要麽是縮短的(隱藏其真實位置),要麽拚寫錯誤,或者與預期的略有不同(例如,“amazon-support.net”)。
- 假冒COVID-19檢測中心的二維碼
最常報告的二維碼騙局之一發生在虛假的COVID-19檢測中心。根據更好的商業局的說法,這些流動和臨時地點遍布全國,目的是盜取人們的個人和支付信息。
當你到達預約地點或直接走進時,會被告知掃描一個二維碼以“簽到”。但你被帶到的網站要求提供的個人信息超出了進行COVID-19檢測所需的信息。這可能包括你的社會安全號碼(SSN)、保險卡的照片(可能被用於醫療身份盜竊)以及你的駕駛執照。
在某些情況下,人們根本沒有收到檢測結果。在其他情況下,他們收到的結果是虛假的和隨機的。“COVID控製中心”在收到大量投訴後正在接受調查。
避免這種騙局的方法是僅去授權的檢測中心或藥店。你可以在這裏找到授權的州、地方和地區檢測站的名單。當你到達時,詢問工作人員你將接受什麽檢測,以及你應該在何時和如何期待結果。
虛假COVID-19檢測站二維碼騙局的警示信號:
- “患者簽到”的二維碼要求提供敏感信息,包括醫療文件和身份證明。
- 檢測設施看起來不合法——可能處於臨時地點或沒有聘請專業人員。
- 他們使用的類似網站或公司名稱與合法檢測站的名稱非常接近。
- 通過社交媒體發送的二維碼(被黑賬戶)
騙子可以通過任何平台發送假二維碼。在這種騙局中,他們使用被黑的社交媒體賬戶發送給你帶有誘人信息的二維碼。
例如,可能會出現這樣的信息:“看看我剛找到的你的照片!”因為你認為這個二維碼是來自“朋友”,你更有可能去掃描它。
社交媒體賬戶被接管在所有平台上都很常見,但在Snapchat上尤為猖獗。如果你關注的某個賬戶給你發送了一條包含二維碼的奇怪信息,建議你直接聯係對方(離開該平台)以確保他們的賬戶沒有被黑。
社交媒體二維碼騙局的警示信號:
- 有一段時間沒和你說話的人聯係你,發送了消息和二維碼。
- 消息使用某種社交工程手段讓你想點擊——措辭可能是威脅、引起好奇或提供過於美好的交易。
- 任何社交媒體私信(DM)中的二維碼都應謹慎對待。
- 加密貨幣二維碼騙局
在所有類型的二維碼騙局中,加密貨幣騙局往往與一些最大的財務損失相關。
騙子會讓你相信你正在進行一項投資或需要使用加密貨幣支付罰款。他們會向你發送一個二維碼,打開一個支付處理器,允許你將你的錢轉換為比特幣、以太坊和其他加密貨幣。但一旦你完成轉賬,騙子要麽消失,要麽要求你支付更多。
例如,一名受害者報告稱,當騙子聯係他們並聲稱他們的社會安全號碼(SSN)被用來進行銀行詐騙和洗錢時,他們損失了超過65,000美元。為了“保護”他們賬戶中的錢,受害者被告知掃描一個二維碼並將錢發送到騙子的比特幣錢包。
另一個常見的加密貨幣二維碼騙局涉及假投資機會。這些騙局通常發生在社交媒體或約會網站上(加密投資計劃是網絡約會的一個更嚴重的危險,受害者常常損失數十萬美元)。同樣,騙子使用二維碼引導受害者到一個看似官方的網站,該網站包含如何向他們發送加密貨幣的信息。
一旦你這樣做,你會看到圖表和圖形,顯示你的投資在頭幾天內大幅增長。騙子會不斷催促你投資更多。但當你去提取你的“收益”時,你的錢和騙子都會消失。
不幸的是,由於加密貨幣沒有受到聯邦或金融機構的支持,一旦發送幾乎無法追回。
加密貨幣二維碼騙局的警示信號:
- 騙子保證戲劇性的回報,風險幾乎為零。他們通常聲稱擁有“秘密”或“內部”信息。
- 自稱來自金融機構或政府機構的人堅持要求以加密貨幣付款。
- 二維碼將你引導到一個設計精美的網站,解釋加密投資,但不會給你任何有關該加密貨幣的具體信息。
- 下載惡意軟件的假二維碼掃描應用程序
你手機的相機能夠掃描二維碼。但騙子創建了假“掃描應用程序”,當你下載它們時會在你的設備上安裝惡意軟件。
一旦下載,應用程序會請求更新,從而下載一個名為 TeaBot 的銀行木馬程序。這個惡意軟件旨在竊取用戶的憑據並訪問他們的賬戶。
隻使用手機的相機應用程序掃描二維碼。在下載應用程序時,確保它們在官方的 iOS 和 Android 應用商店中列出。
假二維碼掃描應用程序的警示信號:
- 應用程序請求大量權限,例如查看和控製你的屏幕。
- 應用程序相對較新,並引用聽起來假或被盜的評論。
- 如果應用程序在你下載後立即請求更新,那明顯是它試圖安裝惡意軟件的跡象。
如何保護自己免受假二維碼的影響
與其完全避免使用二維碼,不如學習如何識別出一些常見跡象,以判斷你正在處理的是一個欺詐性的二維碼。
以下是安全使用二維碼的一些黃金法則:
- 尋找篡改的跡象:騙子通常會用自己的欺詐二維碼替換合法的二維碼。檢查二維碼是否貼在另一個二維碼的上方,或者是否有篡改的跡象。
- 在掃描二維碼之前預覽網址:你的手機會告訴你二維碼試圖發送到哪個目的地。檢查網址是否看起來安全(如果你在餐廳,可以詢問工作人員)。如果網址被縮短且難以閱讀,你需要格外小心。
- 檢查目標網站是否有釣魚詐騙的跡象:尋找你是否訪問了欺詐網站的跡象,包括拚寫錯誤和打字錯誤、不專業的設計和低分辨率的圖像,以及不安全的網址。“安全”網站使用 HTTPS(而非 HTTP),並在其網址附近顯示鎖定圖標。
- 對公共場所或郵件中的二維碼保持高度警惕:公共場合的二維碼或郵件中到達的二維碼可能是騙子放置的,或容易被篡改。盡量避免掃描這些二維碼。
- 絕不要下載二維碼掃描應用:隻使用手機的相機。你不需要其他工具來使用二維碼。
- 安裝防病毒軟件和惡意軟件保護:市麵上有很多防病毒軟件可以保護你的設備免受惡意軟件的侵害,並警告你潛在的釣魚網站。
你掃描了一個詐騙二維碼嗎?請立即采取以下措施
幾乎無法在打開鏈接之前區分欺詐二維碼和真實二維碼。考慮到各種各樣的二維碼詐騙,謹慎提供通過二維碼傳遞的信息變得更加重要。
如果你已經在一個可能是詐騙的二維碼上輸入了敏感信息或下載了某些內容,請迅速采取以下步驟,以保護自己免受身份盜竊和惡意軟件的侵害:
如果你在一個假二維碼中輸入了敏感信息:
-
更改你的密碼並保護你的在線賬戶。在任何可能被泄露的網站上更新你的登錄信息。使用至少八個字符的安全密碼,並包含大小寫字母、符號和數字。還可以考慮使用密碼管理器。這是一個可以安全存儲你密碼的工具,並在網站被泄露時提醒你。為了增加安全性,可以在你的賬戶上啟用雙重身份驗證(2FA),使用身份驗證應用程序。
-
與主要信用局(Equifax、Experian 和 TransUnion)設置欺詐警報和信用凍結。如果你不小心輸入了財務信息,務必通知信用局。欺詐警報和信用凍結使得詐騙者更難以在你的名義下進行貸款欺詐或申請信用卡。有關更多信息,請查看欺詐受害者的清單。
-
通知你的銀行和信用卡公司潛在的欺詐行為。撥打他們的欺詐部門電話,告知他們發生了什麽。他們會幫助你關閉銀行賬戶並設置新賬戶。
-
關注身份盜竊的警告信號。犯罪分子隨時可以利用你的信息。注意警告信號,例如信用卡上意外的收費、失敗的登錄嚐試郵件或丟失的郵件。如果你認為你的身份被盜,請遵循有關如何從身份盜竊中恢複的指南。
-
考慮注冊身份盜竊保護。市麵上有一些身份盜竊保護服務可以監控你所有最敏感的個人信息、在線賬戶和財務,尋找欺詐跡象。如果詐騙者試圖訪問你的賬戶或財務,這些服務還可以幫助你在為時已晚之前采取行動。但是這些服務的收費和質量參差不齊,需要謹慎刪選。
如果你掃描了一個二維碼,導致惡意軟件下載到你的設備上:
-
斷開你的 Wi-Fi 或蜂窩網絡連接。一旦意識到可能下載了惡意軟件,立即關閉任何網絡連接。沒有連接,惡意軟件就更難將你的敏感信息發送給黑客。
-
備份你的重要文件。如果你的設備被黑客入侵,詐騙者可能會竊取敏感文件或照片,甚至加密你的驅動器並迫使你支付贖金。為了安全起見,將文件備份到外部驅動器上。
-
立即更改你的密碼。惡意軟件可能會使詐騙者訪問你的在線賬戶——社交媒體、銀行、加密貨幣、購物等等。更新你的密碼,啟用雙重身份驗證(2FA),並開始使用密碼管理器。
-
掃描你的設備以查找惡意軟件。使用有反惡意軟件功能的防病毒軟件進行掃描,尋找任何網絡安全威脅。
結論:避免假二維碼騙局
二維碼非常實用。但騙子不斷尋找新技術中的漏洞,以盜取你的身份並實施欺詐。
通過遵循這些最佳實踐和了解常見的二維碼騙局,在掃描二維碼時保持安全。為了增加安全性,考慮安裝身份盜竊保護和數字安全軟件。