停车场的缴费机多了一个 QR Code,餐厅菜单也换成「扫码点餐」,你二话不说就扫了——但你确定那个 QR Code 是真的吗?2025 年,QR Code 诈骗(正式名称:Quishing)攻击暴增 5 倍,美国 FBI 更于 2026 年 1 月发出警告,指出朝鲜黑客组织 Kimsuky 正大规模使用恶意 QR Code 进行鱼叉式钓鱼攻击。扫码前一秒,是你最重要的防线。
1. 什么是 Quishing?
Quishing 是 QR Code Phishing 的缩写,指攻击者将恶意 URL 编码成 QR Code,诱导受害者扫描后前往假冒网站,进而窃取账密、信用卡信息或植入恶意程序。
1.1 为什么 QR Code 特别危险?
- 链接不可见:你无法在扫描前知道 QR Code 里藏的是哪个网址
- 绕过安全扫描:许多企业邮件过滤系统对图片中的 QR Code 毫无防备
- 移动设备弱点:手机屏幕小,即使跳出链接预览也容易被忽视
- 信任感高:实体环境中的 QR Code 往往让人降低戒心
2. 2025–2026 年真实攻击案例
2.1 朝鲜黑客组织 Kimsuky 的鱼叉式攻击
2026 年 1 月,FBI 联合发出警告:朝鲜国家支持的黑客组织 Kimsuky 正针对政府机构、医疗单位、学术研究人员发动 QR Code 鱼叉式攻击,在电子邮件中嵌入 QR Code 伪装成 Microsoft 365 登录或多因素验证请求,一旦扫描即窃取账号凭证。
2.2 假停车缴费 QR Code
美国多个城市记录了攻击者在真实停车缴费机上张贴恶意 QR Code 贴纸,将车主导向假冒的缴费网站收集信用卡信息。
2.3 餐厅菜单 QR Code
攻击者在餐厅桌上置换合法的菜单 QR Code,或散布假冒的「免费 Wi-Fi」QR Code,实际上导向钓鱼登录页面或自动下载恶意 App。
3. 如何辨识恶意 QR Code?5 个检查步骤
步骤 1:查看 QR Code 的实体状态
恶意贴纸通常覆盖在原始 QR Code 上,仔细观察是否有边缘翘起、胶水痕迹或纸张材质差异。
步骤 2:扫描前先预览网址
大多数智能手机扫描后会先显示网址,确认网域是否与预期服务一致,是否包含拼写错误(如 micros0ft.com)。
步骤 3:当心短网址
QR Code 中常见短网址,遇到时可复制并用URL 工具解码分析原始网址。
步骤 4:确认来源合法性
电子邮件中的 QR Code 需核对发件人地址;实体环境中向现场工作人员确认;意外收到的「优惠券」「中奖通知」QR Code 直接忽略。
步骤 5:扫描后观察页面行为
若页面要求输入账密、信用卡、身份证号,或提示下载未知 App,应立即关闭并清除缓存。
4. 如何生成安全的 QR Code?
为活动或名片制作 QR Code 时,确保链接指向合法的 HTTPS 网址。使用QR Code 生成器可在浏览器本地生成,不会将目标 URL 传送至外部服务器。需要缩短 URL 时,使用短网址工具记录分发的链接,便于日后追踪与验证。
5. 小结
记住三个核心原则:扫描前看外观(有无贴纸覆盖)、跳转前看网址(是否符合预期)、输入前想一想(这个页面真的需要我的个人信息吗)。善用QR Code 生成器为自己的活动制作可信赖的 QR Code。