QR Code 诈骗(Quishing)完整指南:识别恶意 QR Code、防范扫码钓鱼攻击

停车场的缴费机多了一个 QR Code,餐厅菜单也换成「扫码点餐」,你二话不说就扫了——但你确定那个 QR Code 是真的吗?2025 年,QR Code 诈骗(正式名称:Quishing)攻击暴增 5 倍,美国 FBI 更于 2026 年 1 月发出警告,指出朝鲜黑客组织 Kimsuky 正大规模使用恶意 QR Code 进行鱼叉式钓鱼攻击。扫码前一秒,是你最重要的防线。

1. 什么是 Quishing?

Quishing 是 QR Code Phishing 的缩写,指攻击者将恶意 URL 编码成 QR Code,诱导受害者扫描后前往假冒网站,进而窃取账密、信用卡信息或植入恶意程序。

1.1 为什么 QR Code 特别危险?

  • 链接不可见:你无法在扫描前知道 QR Code 里藏的是哪个网址
  • 绕过安全扫描:许多企业邮件过滤系统对图片中的 QR Code 毫无防备
  • 移动设备弱点:手机屏幕小,即使跳出链接预览也容易被忽视
  • 信任感高:实体环境中的 QR Code 往往让人降低戒心
数据: 2025 年全球 QR Code 钓鱼攻击较 2024 年增长 587%,在所有钓鱼攻击手法中占比达 12%,并且仍在持续攀升。

2. 2025–2026 年真实攻击案例

2.1 朝鲜黑客组织 Kimsuky 的鱼叉式攻击

2026 年 1 月,FBI 联合发出警告:朝鲜国家支持的黑客组织 Kimsuky 正针对政府机构、医疗单位、学术研究人员发动 QR Code 鱼叉式攻击,在电子邮件中嵌入 QR Code 伪装成 Microsoft 365 登录或多因素验证请求,一旦扫描即窃取账号凭证。

2.2 假停车缴费 QR Code

美国多个城市记录了攻击者在真实停车缴费机上张贴恶意 QR Code 贴纸,将车主导向假冒的缴费网站收集信用卡信息。

2.3 餐厅菜单 QR Code

攻击者在餐厅桌上置换合法的菜单 QR Code,或散布假冒的「免费 Wi-Fi」QR Code,实际上导向钓鱼登录页面或自动下载恶意 App。

3. 如何辨识恶意 QR Code?5 个检查步骤

步骤 1:查看 QR Code 的实体状态

恶意贴纸通常覆盖在原始 QR Code 上,仔细观察是否有边缘翘起、胶水痕迹或纸张材质差异。

步骤 2:扫描前先预览网址

大多数智能手机扫描后会先显示网址,确认网域是否与预期服务一致,是否包含拼写错误(如 micros0ft.com)。

步骤 3:当心短网址

QR Code 中常见短网址,遇到时可复制并用URL 工具解码分析原始网址。

步骤 4:确认来源合法性

电子邮件中的 QR Code 需核对发件人地址;实体环境中向现场工作人员确认;意外收到的「优惠券」「中奖通知」QR Code 直接忽略。

步骤 5:扫描后观察页面行为

若页面要求输入账密、信用卡、身份证号,或提示下载未知 App,应立即关闭并清除缓存。

4. 如何生成安全的 QR Code?

为活动或名片制作 QR Code 时,确保链接指向合法的 HTTPS 网址。使用QR Code 生成器可在浏览器本地生成,不会将目标 URL 传送至外部服务器。需要缩短 URL 时,使用短网址工具记录分发的链接,便于日后追踪与验证。

5. 小结

记住三个核心原则:扫描前看外观(有无贴纸覆盖)、跳转前看网址(是否符合预期)、输入前想一想(这个页面真的需要我的个人信息吗)。善用QR Code 生成器为自己的活动制作可信赖的 QR Code。