《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 二維碼安全風(fēng)險不容忽視

二維碼安全風(fēng)險不容忽視

2021-03-30
作者:Palo Alto Networks(派拓網(wǎng)絡(luò))大中華區(qū)總裁 陳文俊
來源:派拓網(wǎng)絡(luò)

移動互聯(lián)網(wǎng)的快速發(fā)展,帶動二維碼在日常生活中的應(yīng)用和普及。目前,,全球掃碼支付90%的個人用戶都在中國,,我國已成為名副其實的二維碼大國,?!俺鲩T不帶現(xiàn)金,手機掃碼走天下,?!彼坪跻殉蔀榇蠖鄶?shù)人的日常習(xí)慣。

 

派拓網(wǎng)絡(luò))大 中華區(qū)總裁陳文俊.jpg" alt="Palo Alto Networks(派拓網(wǎng)絡(luò))大 中華區(qū)總裁陳文俊.jpg"/>

在新冠疫情期間,,二維碼更成為減少接觸和追蹤接觸者的重要工具,,方便非接觸式共享數(shù)據(jù)。雖然這項技術(shù)本身并非不安全,,卻可能被網(wǎng)絡(luò)攻擊者利用,。

二維碼與短網(wǎng)址服務(wù)類似,可即時訪問網(wǎng)站、聯(lián)絡(luò)數(shù)據(jù)等信息,,也可讓用戶在無需密碼的情況下連接至 Wi-Fi網(wǎng)絡(luò),。二維碼技術(shù)本身是安全的,但是隨著人們對它愈加依賴,,網(wǎng)絡(luò)犯罪分子則在想方設(shè)法利用它進行犯罪活動,。二維碼可能為潛在的網(wǎng)絡(luò)攻擊提供入侵機會,因為它們無法提供對背后網(wǎng)頁和應(yīng)用的可視性,。他們會自動將用戶重新定向到網(wǎng)頁或應(yīng)用商店去下載應(yīng)用及付款等,,因此為網(wǎng)絡(luò)犯罪分子提供了入侵的機會,。在去年疫情期間,, Palo Alto Networks (派拓網(wǎng)絡(luò))威脅情報團隊 Unit 42 在地下在線論壇上觀察到網(wǎng)絡(luò)犯罪分子在討論如何利用 二維碼和針對消費者的方法,并找到了如何使用二維碼進行攻擊的開放源代碼工具和影片教程,。

早在 2018 年,,Juniper Research 已預(yù)測由于許多移動設(shè)備的相機都內(nèi)置了二維碼掃描功能,二維碼的使用將于 2022 年增長四倍,,但新冠疫情的爆發(fā)則使該技術(shù)的使用量激增,。

網(wǎng)絡(luò)犯罪分子如何利用二維碼從事犯罪活動

犯罪分子可以通過多種方式利用二維碼實現(xiàn)他們的惡意企圖。其一是入侵企業(yè)的網(wǎng)站,,并換上自己的二維碼,。由于二維碼看起來都非常相似,因此被調(diào)換后的二維碼很難被察覺,。毫無戒心的消費者掃描此等二維碼將被重新定向到釣魚網(wǎng)站,,網(wǎng)絡(luò)犯罪分子就可以乘機在釣魚網(wǎng)站上要求用戶提供認證信息,然后操控諸如其電子郵件或社交媒體帳戶,。它還可能引導(dǎo)用戶進入不正規(guī)的應(yīng)用商店,,令他們在不知情的情況下下載包含病毒、間諜軟件,、木馬或其他類型的惡意軟件,,這可能導(dǎo)致數(shù)據(jù)被盜、私隱外泄(GPS 或通訊簿被盜,、來電和短信被攔截等),、遭勒索軟件勒索或加密挖礦。

另一種網(wǎng)絡(luò)犯罪技術(shù)則是蜜罐(Honeypot),。黑客會建立一個不安全的 Wi-Fi 網(wǎng)絡(luò),,向掃描其二維碼的人士提供免費網(wǎng)絡(luò)。連接到設(shè)備以后,,黑客可以竊聽或攔截正在共享的數(shù)據(jù),,并竊取可作識別身份用途的個人資料、機密商業(yè)信息、網(wǎng)上銀行憑證和信用卡數(shù)據(jù),。隨著遠程辦公方式的持續(xù)流行,,我們需要對這些手段提高警惕,確保只會登錄安全的 Wi-Fi 網(wǎng)絡(luò),。

二維碼:掃前三思

我們應(yīng)該如何自我保護,?雖然我們不能用肉眼辨別網(wǎng)絡(luò)犯罪分子設(shè)下的二維碼,但是仍然可以采取預(yù)防措施來避免淪為受害者,。

企業(yè)負責(zé)人和IT人員需要定期為其網(wǎng)站和應(yīng)用進行信用檢測,,以確保代碼和鏈接地址未被篡改。他們可以通過定期掃描二維碼來檢查鏈接是否正確,。同時還要檢查桌面版以及移動版網(wǎng)頁,,網(wǎng)絡(luò)犯罪分子尤其會入侵后者,以降低被發(fā)現(xiàn)的風(fēng)險,。

企業(yè)還應(yīng)向員工提供網(wǎng)絡(luò)安全培訓(xùn),,使他們認識組織及自身所面臨的風(fēng)險。這些措施包括對個人和公司帳戶使用獨特有效的密碼,、設(shè)置多因子身份認證,、識別釣魚電子郵件以及不安全的虛擬環(huán)境。在非辦公室環(huán)境中工作的員工,,網(wǎng)絡(luò)安全意識培訓(xùn)需要為這類員工提供所需的知識和意識以做出明智的決策,,阻止網(wǎng)絡(luò)攻擊者訪問任何個人和企業(yè)網(wǎng)絡(luò)、設(shè)備及數(shù)據(jù),。

我們一直被教導(dǎo)對可疑鏈接或電子郵件要三思后再點擊,,而現(xiàn)在則是要在掃描二維碼前三思。如果您不知道二維碼將會把您引導(dǎo)到何處,,就不要掃描,,最好先預(yù)覽網(wǎng)站和域名核對準確。許多二維碼安全掃描應(yīng)用可以讓用戶在訪問網(wǎng)站之前進行預(yù)覽,。許多瀏覽器還允許用戶禁用自動轉(zhuǎn)向至網(wǎng)站,,以允許事先檢查域名,再決定網(wǎng)站是否值得信任進入,。

請確保您僅從可信任的來源下載應(yīng)用,,并持續(xù)更新所有智能設(shè)備的OS版本,以享受最新的安全保護,。

總結(jié)一下,,我給出以下三點建議:

1.掃描前要三思

2.掃描后要看清

3.保持警惕,小心謹慎

在可見的未來,,網(wǎng)絡(luò)犯罪分子會更頻繁利用二維碼和其他使用越來越廣泛的技術(shù)進行犯罪活動,,因此,我們務(wù)必要意識到相關(guān)風(fēng)險并采取正確的預(yù)防措施。

 


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。