瑞星卡卡安全论坛

首页 » 企业产品讨论区 » 瑞星杀毒软件网络版(含Linux) » 瑞星发布二维码安全报告——带你揭秘各种扫码骗局
麦青儿 - 2017-4-1 10:20:00
随着互联网的快速发展,二维码的身影频繁的出现人们的各种生活场景中,如:报纸、杂志、商场、网站等。人们的生活离不开二维码,它改变了人们的生活方式。二维码在给我们的生活带来便捷的同时,其存在的安全隐患也逐渐突显,如钓鱼网站、手机病毒、恶意程序等正通过二维码进行四处传播。

一、二维码基本原理

二维码,又称二维条码,它是用特定的几何图形按一定规律在平面(二维方向)上分布的黑白相间的图形,是所有信息数据的一把钥匙。用户只需要拿出相应设备,如手机APP中的“扫一扫”功能,以及专业的二维码扫描工具,就可以对二维码进行识别,然后进行相应操作。


主要功能包括(不限):

信息获取(名片、地图、WiFi密码、资料)
网站跳转(跳转到微博、银行网站、手机网站)
广告推送(用户扫码,直接浏览商家推送的视频、音频广告)
手机电商(用户扫码、手机直接购物下单)
防伪溯源(用户扫码、即可查看生产地;同时后台可以获取最终消费地)
优惠促销(用户扫码,下载电子优惠券,抽奖)
会员管理(用户手机上获取电子会员信息、VIP服务)
手机支付(扫描商品二维码,通过银行或第三方支付提供的手机端通道完成支付)

二、二维码安全隐患
二维码作为一种信息载体,其实本身并不含病毒。只是不法分子利用二维码这种工具来广泛实施恶意行为,导致用户的经济利益和个人隐私遭受损害。目前二维码的安全问题主要存在以下几方面:

1)二维码内藏恶意URL(网址)

目前,大多数二维码承载的内容是一个URL,而现在的扫描软件往往不会对链接的安全性进行检测,恶意网址往往指向挂马网站、钓鱼网站、恶意软件安装链接等。用户一旦点击安装,手机就会感染病毒,有些甚至不需要安装就会中毒。另外,不法分子还会将跳转的网址伪装成官方网站,利用“钓鱼”的方式盗取用户账号、密码等信息,给用户的隐私安全和财产安全带来巨大的危害。


2)二维码内含用户个人信息

很多人喜欢将自己出行时购买的飞机票、火车票等截图晒到网上去,安全意识稍强一点的人会遮挡住姓名、身份证号等信息,但是他们却不知道车票上的二维码已经暴露他们的信息。不法分子通过专业的读取软件或设备,便可以轻易读取车票上的二维码获取购票人的个人信息,包括姓名、身份证号、出行时间、电话等信息,利用这些信息便可以针对购票人进行电信诈骗、骗办信用卡、手机卡,甚至进行勒索等犯罪活动。


3)二维码自身安全性不足

“二维码”在技术层面上存在安全问题,网上银行可以利用数字签名、SSL、UBS key等手段来保护账户的安全性、保密性和不可否认性,但是手机终端的运行能力和存储空间与电脑终端不同,复杂的认证过程并不适用于网络环境。目前的手机支付终端在完成二维码扫描后,一般只要求输入支付密码或者短信验证码,甚至可以通过短信重置密码,这种支付过程的验证方式过于单一,存在短信劫持、篡改密码等问题。


三、二维码诈骗案例
(一)共享自行车现诈骗“二维码”

北京海淀区的纪先生在使用摩拜单车时,发现除了钉在车上的“扫码骑走”二维码以外,车上还新贴了其他两个二维码,纪先生以为是摩拜新添了功能,随即扫描了新贴的二维码,手机却弹出了收款页面,需要使用者输入付款金额。纪先生意识到,这可能是有人借着摩拜单车的“扫码取车”功能设置的骗局,“因为摩拜单车有充值车费的设置,如果使用者不小心扫到了新贴上的两个二维码,很可能稀里糊涂地就被骗钱了”。


瑞星安全专家提醒:如果扫描了假冒的共享单车二维码,轻则被骗取钱财或被营销号骗粉,重则手机将会中毒,手机中的通讯录、相册、短信等重要隐私信息将被盗取。

(二)“二维码”诈骗盯上了水费催缴单!

小刘在自家门上发现了一张水费催缴通知单,“截止到XX年XX月XX日,您已欠水费金额XX元,逾期不交将按欠费额度加收滞纳金”,上面还印有支付宝二维码,乍一看就跟真的水费缴费通知单一样,上面除了印有“中国水利”四个字的二维码外,通知单上还煞有介事地附上了营业区域管理员的姓名和工号编码。小刘说自己一直是通过支付宝缴水费的,“网上都有缴费记录,根本就不会出现欠费的情况,这应该是有人冒充自来水集团发的诈骗二维码。”


瑞星安全专家提醒:正规的水费缴费通知单上应包含用户编号、地址、用水量和水费金额等信息,而这张催缴单根本没有这些信息,自来水公司提示,如果用户欠费,根据规定是不会收取任何滞纳金,用户只需要按照个人编码显示的情况缴纳水费即可。所以上面这个水费催缴单是以二维码进行诈骗的冒牌货。

(三)超市扫码赢礼盒,支付账户被掏空

金小姐在超市购物时,被一个推销人员拦住,向其推荐一个不知名的品牌,称“扫二维码”就能免费赠送商品。金小姐心想,举手之劳不要白不要,便顺手扫了。不曾想,几天内金小姐手机内某支付工具上的账户被一扫而空,近千元的钱财不翼而飞。


瑞星安全专家提醒:犯罪分子利用了人们爱占小便宜的心理,通过各种方式诱导受害者扫描自己提供的二维码。受害人在不知情的状态下登录预设网站自动下载木马病毒,导致个人信息、网银密码被窃取。

(四)火车票二维码隐藏用户隐私信息

据包头铁路民警介绍,如果在以前,车票不涉及个人信息安全问题,旅客将车票随意丢弃是可以的。但如今火车票实名制以后,在车票右下角,有一个正方形的二维码。这个小正方形里隐藏着旅客的重要信息,包括火车票号、开车时间以及身份证号的完整信息。如果火车票落入到不法分子手里,旅客的个人信息将会面临被泄露以及被利用的风险。


瑞星安全专家提醒:用过的火车票不可随意丢弃,建议大家带回家妥善保管。如果要丢弃火车票,应将个人信息和二维码彻底撕毁,或者用笔将二维码涂黑后再丢弃。

四、二维码安全防范建议

(一)、不要见“码”就扫,一般情况下,正规的报纸、杂志以及各大商场海报上的二维码是安全可靠的,但对于街头及网上发布的不明来历的二维码需要提高警惕。

(二)、扫描二维码后,应仔细检查页面上的所有文字,如需安装新的应用程序时,则不要轻易安装。安装请咨询使用过的用户,一般情况下,正规应用程序,也可到官网进行下载。

(三)、下载专业的杀毒工具。如:瑞星手机安全助手,一旦发现病毒,可及时进行有效拦截。

(四)下载所需安全工具时,到正规的网站或是官方网站进行下载,不要随意到手机论坛以及无安全检测的电子市场下载。

(五)、不要在朋友圈或网上随便晒登机牌或车票等这类xxx票根,提高个人安全意识。

(六)、学会利用法律维护个人的合法权益。当我们的个人信息受到非法侵害时,首先可以选择向公安机关报案,要求追究行为人的刑事责任。

(七)、关注瑞星官方微信,微信号:“瑞星(Weixin-Rising )”,掌握更多反诈骗安全防范技巧。
麦青儿 - 2017-4-1 10:56:00





麦青儿 - 2017-4-1 10:56:00








1
查看完整版本: 瑞星发布二维码安全报告——带你揭秘各种扫码骗局