Quishing(二维码钓鱼)
Quishing(二维码钓鱼) 是什么?
Quishing(二维码钓鱼)用二维码代替可点击链接,引导受害者前往凭据窃取或恶意软件页面的钓鱼手法。
Quishing(QR phishing)将恶意二维码放置在电子邮件、PDF、海报、停车牌或餐厅传单中。受害者用手机相机扫码后,设备会打开攻击者控制的 URL,绕过企业邮件网关与端点浏览器的管控。由于二维码以图像形式存在,传统 URL 过滤和 DMARC 检查通常无法识别,且个人手机经常缺乏管控。2023 年起,quishing 显著增加,攻击者借此绕过 Microsoft 365 中的 safe-link 重写,并附上伪造的 "MFA 注册" PDF。常见防御措施包括识别二维码的邮件过滤、含 Web 防护的移动 MDM、安全意识培训,以及在输入凭据前核验每个 QR 的 URL。
● 示例
- 01
邮件 PDF 要求扫描二维码以 "重新认证 Microsoft 365",将用户引导至伪造的 Entra ID 登录页。
- 02
市政停车收费机上的官方二维码被覆盖一张诈骗贴纸,将支付重定向到攻击者钱包。
● 常见问题
Quishing(二维码钓鱼) 是什么?
用二维码代替可点击链接,引导受害者前往凭据窃取或恶意软件页面的钓鱼手法。 它属于网络安全的 攻击与威胁 分类。
Quishing(二维码钓鱼) 是什么意思?
用二维码代替可点击链接,引导受害者前往凭据窃取或恶意软件页面的钓鱼手法。
Quishing(二维码钓鱼) 是如何工作的?
Quishing(QR phishing)将恶意二维码放置在电子邮件、PDF、海报、停车牌或餐厅传单中。受害者用手机相机扫码后,设备会打开攻击者控制的 URL,绕过企业邮件网关与端点浏览器的管控。由于二维码以图像形式存在,传统 URL 过滤和 DMARC 检查通常无法识别,且个人手机经常缺乏管控。2023 年起,quishing 显著增加,攻击者借此绕过 Microsoft 365 中的 safe-link 重写,并附上伪造的 "MFA 注册" PDF。常见防御措施包括识别二维码的邮件过滤、含 Web 防护的移动 MDM、安全意识培训,以及在输入凭据前核验每个 QR 的 URL。
如何防御 Quishing(二维码钓鱼)?
针对 Quishing(二维码钓鱼) 的防御通常结合技术控制与运营实践,详见上方完整定义。
Quishing(二维码钓鱼) 还有哪些其他名称?
常见的别称包括: QR 钓鱼, QRishing。
● 相关术语
- attacks№ 821
网络钓鱼
一种社会工程攻击,攻击者冒充可信方,诱骗受害者泄露凭据、转账或运行恶意软件。
- attacks№ 1059
短信钓鱼 (Smishing)
通过 SMS 等移动消息渠道实施的钓鱼攻击,诱导受害者点击恶意链接、拨打欺诈电话或泄露信息。
- attacks№ 140
回拨钓鱼(Callback Phishing)
两阶段钓鱼攻击:看似无害的邮件诱导受害者拨打电话,人工坐席再引导其安装恶意软件。
- identity-access№ 230
凭据收集
大规模收集用户名、密码、令牌等身份验证机密的行为,通常用于后续账户接管或在黑市出售。
- attacks№ 1065
社会工程学
通过心理操纵让目标执行特定行为或泄露机密信息,从而使攻击者获益的攻击方式。