扫描该二维码可能会让您容易受到攻击。这是保护自己的方法

本周您可能不假思索地扫描了二维码。也许是在餐馆的餐桌上、停车计时器上或会议徽章上。这些像素化的方块已经深深地融入了日常生活，以至于大多数人都像对待路牌一样随意地信任它们。但与路牌不同的是，二维码可以将您重定向到任何地方，而且网络犯罪分子越来越多地利用这种盲目信任来窃取凭证、安装恶意软件并耗尽银行账户的资金。 FBI 在 2022 年就恶意二维码发布了公开警告，此后问题愈演愈烈。仅在 2025 年，基于二维码的网络钓鱼攻击（称为“quishing”）就比前一年激增了 400% 以上。如果您的企业依赖二维码进行客户交互、付款或运营，那么了解这种威胁是必不可少的。

二维码攻击实际上是如何运作的

QR 码只是一种机器可读格式，用于对 URL 或其他数据进行编码。当你扫描一个时，你的手机会打开嵌入的任何链接——这就是危险所在。攻击者创建 QR 码，指向令人信服的网络钓鱼页面，旨在获取登录凭据、付款详细信息或个人信息。由于人眼在扫描之前无法读取编码的 URL，因此没有任何视觉提示表明出现问题。

最常见的攻击方法是物理替换。犯罪分子将恶意二维码打印在贴纸上，并将其贴在合法的二维码上——停车计时器、餐厅餐桌帐篷或公共公告牌上。受害者扫描他们认为可信的代码，然后进入虚假的支付页面或登录屏幕。在德克萨斯州奥斯汀，警方在一次行动中发现了 30 多个公共停车计时器上存在欺诈性二维码贴纸，将司机重定向到一个欺骗性的支付门户，该门户实时捕获他们的信用卡号码。

更复杂的攻击会在网络钓鱼电子邮件、PDF 发票甚至实体邮件中嵌入二维码。由于电子邮件安全过滤器旨在扫描基于文本的链接和附件，因此二维码图像通常会完全绕过这些防御。安全公司 Abnormal Security 报告称，89% 的二维码网络钓鱼电子邮件在测试过程中避开了传统的电子邮件过滤器，攻击者正在积极利用这一漏洞来攻击各种规模的企业。

现实世界的损害：不仅仅是密码被盗

成功的消除攻击的后果远远超出了密码泄露的范围。在商业环境中，一名员工在午休时间扫描恶意二维码可能会给攻击者提供进入公司系统的立足点。从那里开始，通过内部网络的横向移动、勒索软件部署和数据泄露成为真正的可能性。根据 IBM 的年度报告，到 2024 年，全球数据泄露的平均成本将达到 488 万美元。

对于中小型企业来说，其影响是极其严重的。曼彻斯特的一家咖啡馆老板发现，有人用假货替换了每张桌子上的二维码，将顾客重定向到克隆的支付页面。三天后，当欺诈行为被发现时，已有 70 多名客户在攻击者的网站上输入了银行卡详细信息。声誉损失需要几个月的时间才能恢复——远远长于经济损失。

二维码的威胁也越来越大，它会触发恶意应用程序的自动下载，尤其是在 Android 设备上。这些应用程序可以静默地捕获击键、访问联系人、拦截双因素身份验证代码，甚至激活摄像头和麦克风。一次扫描（不到两秒的操作）就可能危及整个设备。

为什么企业既是目标又是载体

企业面临着双重风险。一方面，员工扫描未知的二维码对公司安全构成了入站威胁。另一方面，出于面向客户的目的（菜单、支付、反馈表、Wi-Fi 接入）而部署二维码的企业，当这些代码不被使用时，可能会在不知不觉中成为攻击的媒介。

Frequently Asked Questions

What is QR code phishing (quishing) and how does it work?

QR code phishing, known as quishing, occurs when cybercriminals replace legitimate QR codes with malicious ones that redirect users to fake websites. These fraudulent sites mimic trusted brands to steal login credentials, financial information, or install malware on your device. Attacks commonly target parking meters, restaurant menus, and event materials where people scan without hesitation, making it one of the fastest-growing cyber threats today.

How can I tell if a QR code is safe before scanning?

Always preview the URL your phone displays before opening it. Look for misspellings, unusual domains, or shortened links that hide the true destination. Avoid scanning QR codes on stickers placed over original codes, as this is a common tampering method. Use your phone's built-in camera rather than third-party scanner apps, and never enter passwords or payment details on a site reached through an unfamiliar QR code.

Can businesses protect their customers from fake QR codes?

Yes. Businesses should use branded, dynamic QR codes with custom domains so customers can verify authenticity. Regularly inspect physical QR codes for tampering and rotate URLs when compromise is suspected. Platforms like Mewayz offer a 207-module business OS starting at $19/mo that includes secure link management and branded digital touchpoints, reducing reliance on exposed physical QR codes altogether.

What should I do if I accidentally scanned a malicious QR code?

Immediately close the browser tab without entering any information. If you already submitted credentials, change those passwords right away and enable two-factor authentication on affected accounts. Run a security scan on your device, monitor bank statements for unauthorized charges, and report the fraudulent QR code to the business whose code was spoofed and to the FTC at ReportFraud.ftc.gov.

Related Posts

• 为什么在手机上使用面部识别可能会让您容易受到攻击
• “我没有毕业”：2020 届毕业生如何将疫情失利变成 TikTok 上的一个笑话
• 从搜索中删除露骨图片的更简单方法
• 2025 年为创作者和自由职业者提供的最佳免费 Link-in-Bio 工具