現(xiàn)在生活在城里的年輕人，身上不帶錢包太正常了。這群掃碼達(dá)人的日常大概是：

路人甲：美女，掃個(gè)碼唄？成為我家會(huì)有禮品送哦！

女主角：好呀好呀！

路人乙：美女，掃這個(gè)吃飯可以打折哦~

女主角：好的。

路人丙：美女修眉嗎？掃個(gè)碼填寫下資料就免費(fèi)修眉哦！

女主角：好哇好哇！

路人……X：美……

女主角：不用說了，拿出碼來，我掃，有什么優(yōu)惠呢？

……

然而這些看起來似乎很正常的掃碼背后如果暗藏著殺機(jī)……

套路啊！二維碼刷單是個(gè)坑

雷鋒網(wǎng)消息，最近做生意幾十年的王女士接連收到數(shù)條陌生號(hào)碼的“討債”來電和短信，一開始還不在意的王女士在看到相似內(nèi)容的信息后才意識(shí)到有人冒用公司信息騙錢。

其中有條來自貴州的信息，“大騙子，你們騙一個(gè)窮學(xué)生的錢就不會(huì)覺得良心不安嗎，做什么不好偏做這種勾當(dāng)，你們騙的都是別人的血汗錢，都是別人的生活費(fèi)，你們騙去后用著心安嗎，大騙子....”

這條短信來自貴州某大學(xué)大二學(xué)生，9月23日她收到一條短信，“您的淘寶網(wǎng)買家信譽(yù)良好，現(xiàn)誠聘您利用空閑時(shí)間來為各大店鋪刷信譽(yù)。工作無需押金，工作隨時(shí)結(jié)算……”內(nèi)容的短信。

小姑娘心一動(dòng)，加了短信中留的QQ號(hào)。這個(gè)QQ號(hào)的頭像為一名女性，自稱叫王萱，她按照對(duì)方發(fā)來的購物鏈接以及需要的件數(shù)，通過對(duì)方發(fā)來的微信二維碼，支付了1414元，之后又刷了一筆。

此時(shí)，姑娘發(fā)現(xiàn)自己賬戶里的錢不翼而飛，王萱稱必須刷夠3筆才能得到報(bào)酬，在姑娘拒絕并要求其退錢時(shí)把她拉進(jìn)黑名單。

之后通過微信支付的明細(xì)，姑娘查到收款方為西安某商貿(mào)有限公司，并通過網(wǎng)絡(luò)查詢到該公司的聯(lián)系方式，電話撥通后，老板也就是王女士稱她公司從不使用二維碼，這才趕忙報(bào)了警。

實(shí)際上，只要在網(wǎng)絡(luò)搜索該商貿(mào)有限公司，除了地址、注冊(cè)資本等信息外，還有王女士的私人聯(lián)系方式。而通過網(wǎng)頁上的二維碼生成器，輸入公司的名稱，就能生成公司的二維碼。

這簡(jiǎn)直太猖狂了，只有你想不到，沒有騙子做不到。

掃一掃詐騙？花招多著呢

俗話說人紅是非多，自從二維碼火起來后不少人忍不住拿它做起了文章，無論是前段時(shí)間火遍朋友圈的騰訊公益活動(dòng)鏈接，被替換二維碼，還是最近的刷單二維碼等手段，不少惡意二維碼的存在只要掃一掃就會(huì)“中毒”。

眾所周知，二維碼是一張能存儲(chǔ)信息的擁有特定格式的圖形，能夠在橫向和縱向兩個(gè)方位同時(shí)表達(dá)信息，個(gè)人名片、網(wǎng)址、付款和收款信息等都可以通過二維碼圖案展現(xiàn)出來。

而目前，我國廣泛使用的二維碼為源于日本的快速響應(yīng)碼(QR碼)，QR碼沒有在國內(nèi)申請(qǐng)專利，采取了免費(fèi)開放的市場(chǎng)策略，即誰都可以通過網(wǎng)絡(luò)下載二維碼生成，生成所需的二維碼。

雷鋒網(wǎng)編輯在網(wǎng)絡(luò)搜索“二維碼生成器”，竟然出現(xiàn)458萬余個(gè)搜索結(jié)果，打開頁面最靠前的一個(gè)二維碼生成器，發(fā)現(xiàn)僅需在頁面左側(cè)輸入名稱，即時(shí)就生成該名稱的二維碼。

這簡(jiǎn)直是把本秘笈光明正大放在外面，誰瞅兩眼都能比劃個(gè)一招半式。

正是因?yàn)槎S碼的制作生成沒有任何門檻，不法分子將病毒、木馬程序、扣費(fèi)軟件等編入二維碼，用戶一旦掃描，手機(jī)就會(huì)被植入的病毒木馬感染，身份證、銀行卡號(hào)、支付密碼等私人信息就會(huì)被盜取。

知乎網(wǎng)友黃瑋將掃一掃“中毒”歸納為三種方式：

第一種即釣魚網(wǎng)址。在手機(jī)上，打開一個(gè)網(wǎng)址本身在大多數(shù)情況下是安全的，但危險(xiǎn)在于停留在這個(gè)打開的網(wǎng)站上，用戶的行為，比如主動(dòng)輸入信用卡號(hào)、支付寶帳號(hào)密碼、驗(yàn)證碼。另外，網(wǎng)址并不等于網(wǎng)站入口。比如，有一類特殊的網(wǎng)址，叫做偽協(xié)議地址，例如sms://、tel://等等，這些點(diǎn)擊之后，在不同的系統(tǒng)上有可能會(huì)打開不同的應(yīng)用程序，例如發(fā)短信、打電話等等。

第二種是HTML/JS混合代碼，這是由于很多二維碼軟件提供了所謂的智能內(nèi)容感知和識(shí)別，調(diào)用了瀏覽器解釋引擎去承載和處理這些代碼，實(shí)質(zhì)上就是給“病毒”提供了“溫床”，所以會(huì)“中毒”。但就已知的攻擊案例來說，純第三方二維碼類應(yīng)用軟件即使被瀏覽器客戶端惡意代碼攻擊，對(duì)用戶造成的影響也很有限。而對(duì)用戶造成較大影響的有兩種情況：

⑴惡意代碼直接攻擊瀏覽器解釋引擎，造成內(nèi)存破壞類攻擊，獲得原生應(yīng)用程序級(jí)別的任意代碼執(zhí)行甚至是提升權(quán)限。這種問題發(fā)生的概率要遠(yuǎn)遠(yuǎn)小于PC端瀏覽器遭受同類型攻擊的概率。主要原因是：大多數(shù)攻擊程序是需要一定“行數(shù)”的代碼組成的，而二維碼的承載數(shù)據(jù)能力又是受限制于圖片編碼的容量極限的。簡(jiǎn)單理解就是：復(fù)雜攻擊需要更多行數(shù)的代碼，較少行數(shù)的代碼只能實(shí)現(xiàn)較簡(jiǎn)單的“攻擊”，二維碼由于自身設(shè)計(jì)的“缺陷”，無法提供惡意代碼存儲(chǔ)所必要的足夠空間，故攻擊想象空間和影響效果有限。

⑵update: CVE -CVE-2013-4710 是目前被利用最廣泛、效果最好（基于這個(gè)漏洞利用的惡意代碼可以執(zhí)行任意Java方法）的針對(duì)安卓手機(jī)平臺(tái)的網(wǎng)頁“掛馬”漏洞，那么有什么危害呢？簡(jiǎn)單來說，如果掃碼軟件有root權(quán)限，那么惡意代碼也可以獲得root權(quán)限。如果掃碼軟件可以訪問你的通訊錄，惡意代碼也可以。總之，借助這個(gè)漏洞掃碼軟件掃一下就被安裝上惡意軟件、扣費(fèi)程序并不是癡人說夢(mèng)了。

第三種是自定義的二維碼應(yīng)用。雖然二維碼本身承載的其實(shí)就只是普通文本數(shù)據(jù)（數(shù)字、字符等），但有些軟件給這些數(shù)據(jù)定義了一些自己的解析規(guī)則，目的是實(shí)現(xiàn)掃碼后自動(dòng)XXX或自動(dòng)YYY。壞就壞在這個(gè)自動(dòng)化的過程，給了數(shù)據(jù)一秒變病毒的機(jī)會(huì)。如何理解？參考Web安全里的SQL注入、XSS等，就是最典型的數(shù)據(jù)一秒變病毒的參考案例。

上面3類“病毒”，第一種為需要用戶交互才能得逞的病毒，后兩種無需用戶交互即可實(shí)現(xiàn)“感染”。當(dāng)然，目前前者的攻擊方式較為常見，后兩者攻擊易得手但造成的影響多是有限。

看完了這些，還敢隨便掃一掃嗎？

雷鋒網(wǎng)編輯也在這里貼心地為大家準(zhǔn)備了防被騙技能，

技能一：莫要貪便宜輕易掃一掃。

技能二：銀行卡只留兩毛錢。

以上，完畢。

參考鏈接：

http://www.cnbeta.com/articles/tech/655159.htm

https://www.zhihu.com/question/20834260/answer/16354900?utm_medium=social&utm_source=wechat_session

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。