二维码钓鱼 (Quishing)
二维码钓鱼 (Quishing) 是什么?
二维码钓鱼 (Quishing)将恶意网址藏入二维码的钓鱼攻击,诱导受害者用手机扫描,从而绕过企业防护访问凭据窃取或恶意软件页面。
二维码钓鱼(Quishing)是一种社会工程攻击,攻击者把恶意链接编码成二维码,而不是以可见文字的形式呈现。由于网址被嵌入图像中,它往往能绕过邮件链接扫描器和安全邮件网关;而扫码通常会把受害者引到防护较弱的个人手机上。常见诱饵包括伪造的多因素认证设置通知、快递投递或停车缴费请求,以及贴在海报、餐桌合法二维码之上的假贴纸。防御措施包括可识别图像与二维码的邮件过滤、封堵攻击者域名、采用抗钓鱼的 FIDO2 认证、移动威胁防御,以及提醒用户勿随意扫描来历不明的二维码。
● 示例
- 01
一封冒充 IT 部门的邮件要求员工扫描二维码以"重新启用" Microsoft 365 的多因素认证,实则跳转到窃取凭据和会话令牌的假登录页面。
- 02
攻击者在停车计时器的合法二维码上覆盖伪造贴纸,使车主向仿冒网站而非市政部门付款。
● 常见问题
二维码钓鱼 (Quishing) 是什么?
将恶意网址藏入二维码的钓鱼攻击,诱导受害者用手机扫描,从而绕过企业防护访问凭据窃取或恶意软件页面。 它属于网络安全的 攻击与威胁 分类。
二维码钓鱼 (Quishing) 是什么意思?
将恶意网址藏入二维码的钓鱼攻击,诱导受害者用手机扫描,从而绕过企业防护访问凭据窃取或恶意软件页面。
二维码钓鱼 (Quishing) 是如何工作的?
二维码钓鱼(Quishing)是一种社会工程攻击,攻击者把恶意链接编码成二维码,而不是以可见文字的形式呈现。由于网址被嵌入图像中,它往往能绕过邮件链接扫描器和安全邮件网关;而扫码通常会把受害者引到防护较弱的个人手机上。常见诱饵包括伪造的多因素认证设置通知、快递投递或停车缴费请求,以及贴在海报、餐桌合法二维码之上的假贴纸。防御措施包括可识别图像与二维码的邮件过滤、封堵攻击者域名、采用抗钓鱼的 FIDO2 认证、移动威胁防御,以及提醒用户勿随意扫描来历不明的二维码。
如何防御 二维码钓鱼 (Quishing)?
针对 二维码钓鱼 (Quishing) 的防御通常结合技术控制与运营实践,详见上方完整定义。
二维码钓鱼 (Quishing) 还有哪些其他名称?
常见的别称包括: QR 码钓鱼, 二维码网络钓鱼。
● 相关术语
- attacks№ 917
网络钓鱼
一种社会工程攻击,攻击者冒充可信方,诱骗受害者泄露凭据、转账或运行恶意软件。
- attacks№ 1175
短信钓鱼 (Smishing)
通过 SMS 等移动消息渠道实施的钓鱼攻击,诱导受害者点击恶意链接、拨打欺诈电话或泄露信息。
- attacks№ 1333
语音钓鱼 (Vishing)
通过电话或 VoIP 等语音通道实施的钓鱼攻击,用以骗取凭据、支付或远程访问权限。
- attacks№ 1192
鱼叉式网络钓鱼
针对特定个人或组织、利用事先收集的个人或职业信息精心定制的钓鱼攻击。
- attacks№ 1183
社会工程学
通过心理操纵让目标执行特定行为或泄露机密信息,从而使攻击者获益的攻击方式。
- identity-access№ 253
凭据收集
大规模收集用户名、密码、令牌等身份验证机密的行为,通常用于后续账户接管或在黑市出售。