节假日消费注意!新型诈骗盯上美国年轻人 数百万人已中招
曾经,二维码是一种让人觉得新鲜又高效的科技符号。你可能在博物馆里扫过它,了解猛犸象的饮食习惯,或成吉思汗的军事战略;疫情期间,它又迅速取代纸质菜单,成了餐厅的“标配”。但如今,这个早已融入美国人日常生活的小方块,正被网络犯罪分子大规模利用,变成一种新的诈骗工具。
这种诈骗有个专门的名字——Quishing,也就是“二维码钓鱼诈骗”。
简单说,骗子会制作或篡改二维码,把你引导到伪装成正规页面的钓鱼网站,诱导你输入账号、密码、信用卡信息,甚至在你毫不知情的情况下,在手机里下载恶意软件。
随着二维码在美国生活中的应用场景越来越多——从登机牌、停车缴费,到水电账单、包裹通知——诈骗分子也盯上了这一“无处不在”的入口。
BlueVoyant 主动网络安全服务高级总监达斯汀·布鲁尔直言:“和许多本来出于好意的技术进步一样,二维码也正在被恶意利用。正因为它们无处不在,从加油泵、庭院标牌到电视广告,所以它们既方便,也危险。”
一张贴纸,就能完成一次诈骗
对骗子来说,二维码诈骗几乎是“低门槛、高回报”。他们不需要高深技术,只要在停车计时器、水电费通知单、公共场所海报上,贴上一张伪造的二维码贴纸,就足以完成布局。
接下来,事情往往会顺着人性的弱点自然发生。
“骗子正是利用了人们匆忙、着急办事的心理。”罗切斯特大学电气与计算机工程系教授高拉夫·夏尔马指出。
今年早些时候,美国联邦贸易委员会(FTC)已公开警告二维码诈骗激增,提醒公众警惕那些“带着二维码的不速之客包裹”。扫描这些二维码,可能会被带到钓鱼网站,窃取信用卡号、用户名和密码,甚至直接在手机中植入恶意程序。
今年夏天,纽约州交通部、夏威夷电力公司等多地政府和公共机构也相继发布提醒,警告居民防范二维码诈骗。
年轻人,反而更容易中招
很多人以为,网络诈骗的主要受害者是老年人。但现实恰恰相反。
IBM 指出,老年人确实更容易成为传统邮件钓鱼的目标,但在二维码诈骗中,千禧一代和 Z 世代的风险同样不低——甚至更高。
原因很简单:他们更习惯“看到就扫”。网络安全公司 NordVPN 的数据显示,73% 的美国人在扫描二维码前从不验证来源,已有超过 2600 万人因此被引导至恶意网站。
KeepNet Labs 的研究则发现,目前所有恶意链接中,已有 26% 是通过二维码传播的。
Malwarebytes 的研究还发现,iPhone 用户在二维码诈骗中似乎更容易成为受害者。研究人员认为,这与“过度信任设备安全性”有关。
55% 的 iPhone 用户相信自己的手机“足够安全”,而安卓用户中持相同看法的只有 50%。在购物或支付场景中,iPhone 用户更少使用额外的安全防护措施。
“信任本身可能会带来风险。”Malwarebytes 研究员 David Ruiz 说。
看不见的网址,才是最大风险
与传统钓鱼邮件不同,二维码最大的危险在于:用户无法直接看到链接内容。
即便二维码旁边写着“官方缴费入口”“停车付款”,这些文字也很容易被篡改或伪造。一旦扫码,用户往往已经站在骗子精心设计的页面里。
布鲁尔警告称,甚至有国家级攻击者利用二维码,入侵军方人员或政府工作人员的通讯账号,传播远程访问木马(RAT),从而完全控制目标设备。
“尤其令人担忧的是,合法的传单、海报、广告牌或官方文件,非常容易被篡改。”他说,“攻击者只需把自己的二维码覆盖在原有二维码上,普通用户几乎不可能察觉。”
SANS 研究所人工智能和新兴威胁研究主管 Rob Lee 也表示,二维码本就不是为安全而设计,而是为便利而生,“这正是它被骗子盯上的原因”。
如何避免被“扫码碾压”
网络安全专家给出的建议,其实并不复杂:
不要扫描任何意料之外的二维码,尤其是催促你付款、缴费、罚款的;
如果涉及账单或欠费,直接联系官方渠道确认,不要通过扫码支付;
停车缴费优先刷卡,许多城市的二维码仅用于下载官方 App;
收到附带二维码的“意外礼物”,在未核实前,千万不要扫描;
扫码后注意查看网址,警惕拼写错误、异常页面。
“只扫描你信任的二维码,是最简单、也是最有效的自我保护方式。”Guidepoint Security 的高级安全策略师 James Chatwani 说。
二维码已经深度嵌入现代生活,而且短期内不会消失。但在便利与风险之间,保持警惕,或许才是这个时代最必要的“数字素养”。
