現在生活在城裡的年輕人,身上不帶錢包太正常瞭。這群掃碼達人的日常大概是:
路人甲:美女,掃個碼唄?成為我傢會有禮品送哦!
女主角:好呀好呀!
路人乙:美女,掃這個吃飯可以打折哦 ~
女主角:好的。
路人丙:美女修眉嗎?掃個碼填寫下資料就免費修眉哦!
女主角:好哇好哇!
路人 ……X:美 ……
女主角:不用說瞭,拿出碼來,我掃,有什麼優惠呢?
……
然而這些看起來似乎很正常的掃碼背後如果暗藏著殺機 ……
套路啊!二維碼刷單是個坑
雷鋒網消息,最近做生意幾十年的王女士接連收到數條陌生號碼的 " 討債 " 來電和短信,一開始還不在意的王女士在看到相似內容的信息後才意識到有人冒用公司信息騙錢。
其中有條來自貴州的信息," 大騙子,你們騙一個窮學生的錢就不會覺得良心不安嗎,做什麼不好偏做這種勾當,你們騙的都是別人的血汗錢,都是別人的生活費,你們騙去後用著心安嗎,大騙子 ...."
這條短信來自貴州某大學大二學生,9 月 23 日她收到一條短信," 您的淘寶網買傢信譽良好,現誠聘您利用空閑時間來為各大店鋪刷信譽。工作無需押金,工作隨時結算 ……" 內容的短信。
小姑娘心一動,加瞭短信中留的 QQ 號。這個 QQ 號的頭像為一名女性,自稱叫王萱,她按照對方發來的購物鏈接以及需要的件數,通過對方發來的微信二維碼,支付瞭 1414 元,之後又刷瞭一筆。
此時,姑娘發現自己賬戶裡的錢不翼而飛,王萱稱必須刷夠 3 筆才能得到報酬,在姑娘拒絕並要求其退錢時把她拉進黑名單。
之後通過微信支付的明細,姑娘查到收款方為西安某商貿有限公司,並通過網絡查詢到該公司的聯系方式,電話撥通後,老板也就是王女士稱她公司從不使用二維碼,這才趕忙報瞭警。
實際上,隻要在網絡搜索該商貿有限公司,除瞭地址、註冊資本等信息外,還有王女士的私人聯系方式。而通過網頁上的二維碼生成器,輸入公司的名稱,就能生成公司的二維碼。
這簡直太猖狂瞭,隻有你想不到,沒有騙子做不到。
掃一掃詐騙?花招多著呢
俗話說人紅是非多,自從二維碼火起來後不少人忍不住拿它做起瞭文章,無論是前段時間火遍朋友圈的騰訊公益活動鏈接,被替換二維碼,還是最近的刷單二維碼等手段,不少惡意二維碼的存在隻要掃一掃就會 " 中毒 "。
眾所周知,二維碼是一張能存儲信息的擁有特定格式的圖形,能夠在橫向和縱向兩個方位同時表達信息,個人名片、網址、付款和收款信息等都可以通過二維碼圖案展現出來。
而目前,我國廣泛使用的二維碼為源於日本的快速響應碼 ( QR 碼 ) ,QR 碼沒有在國內申請專利,采取瞭免費開放的市場策略,即誰都可以通過網絡下載二維碼生成,生成所需的二維碼。
雷鋒網編輯在網絡搜索 " 二維碼生成器 ",竟然出現 458 萬餘個搜索結果,打開頁面最靠前的一個二維碼生成器,發現僅需在頁面左側輸入名稱,即時就生成該名稱的二維碼。
這簡直是把本秘笈光明正大放在外面,誰瞅兩眼都能比劃個一招半式。
正是因為二維碼的制作生成沒有任何門檻,不法分子將病毒、木馬程序、扣費軟件等編入二維碼,用戶一旦掃描,手機就會被植入的病毒木馬感染,身份證、銀行卡號、支付密碼等私人信息就會被盜取。
知乎網友黃瑋將掃一掃 " 中毒 " 歸納為三種方式:
第一種即釣魚網址。在手機上,打開一個網址本身在大多數情況下是安全的,但危險在於停留在這個打開的網站上,用戶的行為,比如主動輸入信用卡號、支付寶帳號密碼、驗證碼。另外,網址並不等於網站入口。比如,有一類特殊的網址,叫做偽協議地址,例如 sms://、tel:// 等等,這些點擊之後,在不同的系統上有可能會打開不同的應用程序,例如發短信、打電話等等。
第二種是 HTML/JS 混合代碼,這是由於很多二維碼軟件提供瞭所謂的智能內容感知和識別,調用瞭瀏覽器解釋引擎去承載和處理這些代碼,實質上就是給 " 病毒 " 提供瞭 " 溫床 ",所以會 " 中毒 "。但就已知的攻擊案例來說,純第三方二維碼類應用軟件即使被瀏覽器客戶端惡意代碼攻擊,對用戶造成的影響也很有限。而對用戶造成較大影響的有兩種情況:
⑴惡意代碼直接攻擊瀏覽器解釋引擎,造成內存破壞類攻擊,獲得原生應用程序級別的任意代碼執行甚至是提升權限。這種問題發生的概率要遠遠小於 PC 端瀏覽器遭受同類型攻擊的概率。主要原因是:大多數攻擊程序是需要一定 " 行數 " 的代碼組成的,而二維碼的承載數據能力又是受限制於圖片編碼的容量極限的。簡單理解就是:復雜攻擊需要更多行數的代碼,較少行數的代碼隻能實現較簡單的 " 攻擊 ",二維碼由於自身設計的 " 缺陷 ",無法提供惡意代碼存儲所必要的足夠空間,故攻擊想象空間和影響效果有限。
⑵ update: CVE -CVE-2013-4710 是目前被利用最廣泛、效果最好(基於這個漏洞利用的惡意代碼可以執行任意 Java 方法)的針對安卓手機平臺的網頁 " 掛馬 " 漏洞,那麼有什麼危害呢?簡單來說,如果掃碼軟件有 root 權限,那麼惡意代碼也可以獲得 root 權限。如果掃碼軟件可以訪問你的通訊錄,惡意代碼也可以。總之,借助這個漏洞掃碼軟件掃一下就被安裝上惡意軟件、扣費程序並不是癡人說夢瞭。
第三種是自定義的二維碼應用。雖然二維碼本身承載的其實就隻是普通文本數據(數字、字符等),但有些軟件給這些數據定義瞭一些自己的解析規則,目的是實現掃碼後自動 XXX 或自動 YYY。壞就壞在這個自動化的過程,給瞭數據一秒變病毒的機會。如何理解?參考 Web 安全裡的 SQL 註入、XSS 等,就是最典型的數據一秒變病毒的參考案例。
上面 3 類 " 病毒 ",第一種為需要用戶交互才能得逞的病毒,後兩種無需用戶交互即可實現 " 感染 "。當然,目前前者的攻擊方式較為常見,後兩者攻擊易得手但造成的影響多是有限。
看完瞭這些,還敢隨便掃一掃嗎?
雷鋒網編輯也在這裡貼心地為大傢準備瞭防被騙技能,
技能一:莫要貪便宜輕易掃一掃。
技能二:銀行卡隻留兩毛錢。
以上,完畢。
