如何保护自己免受 "Quishing" 攻击:从源头阻止二维码钓鱼
一次快速扫描。传单上的一个小方块。停车罚单上一张紧急的“请点击此处”的便条。攻击者正是利用了这种瞬间的信任。Quishing - 即通过二维码进行的网络钓鱼 - 看起来无害,但它能引导设备通过隐藏的重定向,让用户访问到以假乱真的虚假登录页面,或在用户不知情的情况下传递泄露数据的跟踪令牌。
本文将解释为什么二维码会造成安全盲点,“检查一下网址”的建议为何常常无效,以及降低风险的实用步骤。最后一部分将介绍 Clean Links 如何在页面打开前揭示其真实目标地址并移除跟踪参数。
为什么二维码会造成安全盲点
二维码在免去输入的同时,也消除了上下文信息。
- 扫描二维码后,手机会解码数据并显示一个网址或操作。这个初始网址可能是一个跳板 - 一个短链接、一个重定向器,或一个立即转发到其他目标地址的云托管页面。
- 攻击者利用网址缩短器和多级重定向来隐藏最终目标。初看安全的链接,经过一次或多次重定向后,可能会变成一个凭证窃取页面。
- 二维码可以被放置在任何地方:海报、菜单、邮件、覆盖在合法二维码上的贴纸。这种物理上的放置方式使其具有说服力且易于被滥用。
为什么“检查网址”的建议常常无效
告诉别人“检查一下网址”是基于一些在实际中并不成立的假设:
- 解码出的网址本身可能就是一个重定向器,因此检查它只能看到第一步。
- 许多查看器 - 包括默认的相机应用 - 只会显示解码后的链接,而不会在用户点击前追踪完整的重定向链或揭示最终目标地址。
- 即使最终域名看起来合法,链接也可能附加了跟踪参数和联盟令牌。这些参数可用于用户画像分析或被用于欺诈流程,使得辨别扫描的真实去向变得更加困难。
简而言之:可见的网址很有用,但它并非全貌。
上面的视频展示了一个关键区别:Apple 的相机应用只显示初始域名,而 Clean Links 则会追踪所有重定向,在您点击前揭示出真实的最终目标地址。
降低风险的实用步骤
- 像对待未知链接一样对待来路不明的二维码。如果它出现在邮件、贴纸上,或是在意想不到的地方,请避免扫描。
- 如果商家提供二维码(如菜单、票务、支付),请与工作人员核实,或改用商家的官方应用或网站。
- 避免在通过二维码访问的网站上输入凭证。对于重要服务,请手动输入已知的官方网址或使用可信的书签。
- 优先选择能预览最终目标地址并显示重定向链的扫描器,而不是那些只显示初始解码链接的。
Clean Links 如何提供帮助
Clean Links 旨在揭示二维码和短链接背后的真相。它会追踪完整的重定向链,并在页面打开前显示出真实的最终网址。iPhone 的相机只显示解码后的链接,而 Clean Links 则会揭示重定向并剥离跟踪参数,确保着陆页和打开的链接符合预期。所有处理都在设备上本地运行,没有任何外部日志记录。
Clean Links 可在 App Store 免费下载。
保护自己的快速核对清单
- 点击前请三思。检查扫描器预览的最终域名。
- 如有疑问,切勿输入密码或支付信息。
- 如果链接要求紧急支付或提供凭证,请通过链接以外的渠道核实该请求。
- 如果经常在公共场所扫描二维码,请将更安全的扫描器设为默认。
扫码钓鱼之所以能成功,是因为它利用了人们的日常习惯。一点点谨慎,加上合适的工具,就能打破攻击链。对于任何哪怕只是偶尔扫描二维码的人来说,使用一个能预览和清理链接的扫描器,都能消除大部分风险。
