实战指南
QR 码诈骗:您需要了解的一切
QR 码不过是一段编码字符串。危险不在于格式本身,而在于这段字符串告诉您的手机去做什么——而您通常在没有阅读的情况下就扫描了。以下是当前正在发生的十种攻击手法、每种在现实中的表现,以及如何在点击之前识别它们。
1. 停车计时器、菜单和电动汽车充电桩上的贴纸替换攻击
表现形式:一枚小贴纸整齐地覆盖在停车计时器、餐厅菜单、电动汽车充电桩或自助结账终端的正规 QR 码上。贴纸上的 QR 看起来与原版一模一样。扫描后,您会进入一个外观与官方页面相同的支付页面。付款后,钱款进入攻击者账户。美国多个大城市在 2023-2024 年遭遇此类攻击(圣安东尼奥、奥斯汀、休斯顿);电动汽车充电桩贴纸问题在 2024-2025 年急剧增多。
识别方法:仔细观察 QR 码。它是直接印在表面上的(雕刻、喷涂或压膜嵌入),还是一张贴纸?用指甲沿边缘划一下,如果会翘起,就是贴纸。正规停车计时器和电动汽车充电桩的 QR 几乎都是永久性的。对于菜单,可询问服务员哪个支付页面是真实的,正规运营商乐于确认。付款前先用我们的扫描器检查 QR,解码后的目标地址就是关键线索。
2. 机场、酒店和会议中心的恶意 Wi-Fi 攻击
表现形式:一张印有免费 Wi-Fi 广告的卡片或贴纸:「Airport_Free_WiFi」、「Starbucks_Guest_2」、「ConferenceGuest」。扫描 QR,手机加入网络,看起来有了网络连接。但实际上,该网络是攻击者在同一房间内用手机热点运行的。他们将您的流量代理至真实互联网,让您感觉一切正常,但他们可以看到 DNS 查询、SNI 主机名、任何 HTTP 明文流量,并可提供虚假的强制门户页面套取凭证。
识别方法:核实 SSID 是否与场所官方公布的名称一致。机场会在官网列出访客 Wi-Fi 名称,酒店会在前台告知。相似名称(多余字符、字母互换、附加「Free」)是攻击特征。我们的扫描器会对 SSID 与高仿冒品牌名称列表进行比对并标记。有疑问时,直接使用移动数据。
3. 通行密钥 QR 钓鱼
表现形式:您在桌面端登录某网站。该网站显示一个 QR 用于配对手机上的通行密钥。攻击者诱骗您访问错误网站后,向您展示他们的 QR,将您的通行密钥配对到他们在真实网站上的活跃登录会话。随后他们便登入了您的账户。CTAP 2.2 混合传输(通行密钥 QR 背后的标准)在密码学上是安全的,攻击完全发生在人的层面——让您扫描一个并非您所认为的那个网站上的 QR。
识别方法:扫描通行密钥 QR 之前,在浏览器地址栏确认页面 URL。钓鱼网站常使用域名仿冒(多余连字符、字母互换、.co 而非 .com)。通行密钥 QR 本身没问题,问题在于显示它的页面是否真实。此外,通行密钥 QR 通常有效期极短(一分钟以内),在静态帮助页面上存在数小时的 QR 很可疑。
4. 验证器导出窃取
表现形式:有人借用您的已解锁手机「拍张照」。他们打开 Google Authenticator,点击「转移账户 → 导出」,生成一个 QR,并用自己的手机拍下来。然后把您的手机还给您。那个 QR 以 base64 编码的 protobuf 格式,包含了您的每一个验证器种子(Google、AWS、GitHub、银行、加密货币交易所)。此后,他们可以永久生成您所有账户的 6 位验证码,直到您逐一重置为止。
识别方法:防御的关键不在于发现 QR,而在于阻止它被生成。不要将已解锁的手机交给他人。如果需要分享内容,亲自操作。另外,大多数验证器应用现在在导出流程中需要生物识别解锁,但 Google 的验证器直到 2023 年底才加入此功能,旧手机可能仍会跳过。如果怀疑发生了此类情况,请视为全面泄露,逐一重置验证器中所有账户的双因素认证。
5. 登机牌照片泄露
表现形式:旅行者在 Instagram 或 LinkedIn 上发布登机牌照片,「飞往东京!」登机牌上的 PDF417 条形码(或 QR)以明文形式包含了航空公司订单号(PNR)和机票号。攻击者截图后解码条形码,在航空公司网站上通过 PNR 加姓氏(通常足够)查询订单,随后即可取消行程、更改座位、查看完整行程,或发起退款流程。
识别方法:不要发布登机牌照片。如果必须发布,请遮挡或裁掉条形码以及订单号(通常以 6 位字母数字代码的形式印在某处)。QR/条形码是完美的攻击目标,因为任何手机截图都可以机读。
6. 驾照条形码数据采集
表现形式:酒吧、夜店、电子烟店、大麻店或限龄零售商扫描您驾照背面的 PDF417 条形码来「验证年龄」。该条形码以明文形式包含了驾照上的所有信息:姓名、地址、出生日期、驾照号码、身高、体重、眼睛颜色。部分运营商会保留这些数据、出售给营销数据聚合商,或在数据泄露中被窃取。一个真正的门卫只需知道一件事:您是否达到法定年龄,而不需要您的地址。
识别方法:询问扫描的内容和原因。部分场所仅需确认年龄,其他场所(某些司法管辖区的大型夜店)依法需保留数据。对规模较小的非正式场所提出质疑。如果您有移动驾照,请优先使用——mDL 支持选择性披露(酒吧可以仅询问「是否满 21 周岁:是/否」,而无需查看您的出生日期)。
7. NFT 活动和实体艺术品中的加密货币提款 QR
表现形式:NFT 见面会、画廊开幕式、展会摊位或实体艺术品内的 QR 声称可以为您铸造免费 NFT 或领取空投。扫描后,QR 打开一个 WalletConnect 会话或跳转到您的钱包应用,要求您签署一笔交易。该交易授权恶意合约清空您钱包中的所有代币。提款工具包已是商品化软件,QR 只是传播载体。
识别方法:签名前仔细阅读钱包中的交易提示。如果它请求对您不认识的合约进行代币授权(尤其是 setApprovalForAll 或无限额 approve),请拒绝。随机展台上的免费 NFT 领取 QR 不值得冒险。对于任何线下互动,使用余额最少的独立热钱包;将真实资产保存在从不连接 QR 会话的钱包中。
8. 覆盖慈善/捐款 QR 的贴纸替换
表现形式:一张真实慈善机构的传单张贴在公共场所。攻击者用指向其控制钱包的贴纸覆盖捐款 QR,或替换为虚假捐款页面。捐款流向攻击者。这种情况在自然灾害和重大新闻事件前后最为常见——正规慈善机构正在大力宣传,攻击者趁机搭便车。
识别方法:与第 1 条相同——QR 是覆盖在印刷版上的贴纸,还是原版印刷的一部分?此外,建议直接在浏览器中输入慈善机构网址进行捐款,或使用其官方应用。QR 码很便捷,但它们不构成信任链。
9. 仿冒产品护照 QR
表现形式:纺织品、电池、电子设备或家具上的 QR 声称是该产品的欧盟数字产品护照(ESPR 要求,2027-2030 年分阶段推行)。扫描后,一个精美的网页展示产品来源、回收成分含量及可持续性声明,但这些内容全是虚构的——仿冒品制造商只需购买一个通用的 DPP 风格落地页即可。随着 DPP 的推进,此类攻击预计将扩大规模:监管机构仍在构建锚定真实性的欧盟注册表。
识别方法:检查 DPP 中的发行方字段是否对应已注册的欧盟经济经营者。截至 2026 年中,欧盟委员会尚未发布整合注册表;在此之前,请将 DPP 声明视为参考性而非可验证的信息。我们的扫描器会提取发行方字段和 DPP 服务器 URL,供您自行核查。
10. 索取过多信息的恶意 mDL 验证器
表现形式:您在酒吧或零售柜台出示移动驾照(mDL)。对方的验证应用请求全名、完整出生日期、驾照号码、地址以及照片,而实际上该交易只需验证年龄。您出于习惯直接批准。这样一来,一家小商户就掌握了您的完整身份信息,保留期限不明,转售对象不明。该标准要求钱包向您展示请求列表,但并不阻止您批准全量披露。
识别方法:仔细阅读请求提示。如果验证方索取的信息超出交易所需(酒吧询问地址、零售员工询问驾照号码),请拒绝并要求仅验证最少必要信息(仅 age_over_21)。如果对方拒绝,您面临一个策略选择:提供超出必要的信息,或转身离开。标准站在您这边,但验证方生态系统目前尚未受到监管。
如果您已经扫描了可疑内容该怎么办
- 支付网站:如果您填写了银行卡信息,请立即联系银行,标记该笔交易并申请补发卡片。不要等到扣款后再处理。
- Wi-Fi:在手机上忘记该网络。快速检查近期使用过的应用是否有要求输入凭证的提示。更改在连接期间使用过的所有账户密码,尤其是曾回退至 HTTP 的服务。
- 通行密钥:登录受影响的账户,进入安全设置,查看已激活的通行密钥列表,移除任何您不认识的条目。如果网站支持,同时重置您的密码。
- 验证器导出:将此视为全面泄露。重置验证器中每个账户的双因素认证。从高价值账户开始(银行、电子邮件、加密货币交易所、GitHub、AWS)。
- 登机牌已公开:联系航空公司,如可能请更改订单号,并设置航班状态提醒,以便及时发现是否有人修改了订单。
- 加密货币提款合约已签名:立即将剩余资产转移至新钱包。在您使用过的每条链上撤销合约授权(revoke.cash 等工具支持大多数链)。被盗代币通常无法追回。
扫描前先检查
将任意 QR(图片、粘贴或摄像头)放入我们的扫描器。您将看到解码后的有效载荷、URL 类型的重定向链、谁可以更改目标地址,以及声誉标记。信息在您行动前已显示在屏幕上,决定由您做出。