二維碼無處不在，你可以在海報(bào)和傳單、ATM屏幕、價簽和商品甚至建筑物上看到它們，人們用它們來分享信息，推廣各種在線資源，然而，你卻很少在電子郵件中看到二維碼。用戶無需掃描即可在手機(jī)上直接閱讀信息，因?yàn)榇蠖鄶?shù)信件都帶有普通的超鏈接，但攻擊者正越來越多地通過電子郵件發(fā)送的二維碼來實(shí)施攻擊。
　　與易于檢查和屏蔽的釣魚鏈接不同，二維碼是安全解決方案中令人頭疼的問題。分析二維碼并找出其中包含的信息，需要昂貴且資源豐富的計(jì)算機(jī)視覺技術(shù)。更糟糕的是，雖然一個普通的鏈接只需看一眼就可以整理出來，但使用二維碼，在掃描之前，你無法判斷它會把你重定向到哪里。

　　二維碼也稱快速響應(yīng)碼，是一種二維矩陣條形碼，由幾個正方形和多個點(diǎn)（模塊）組成，排列在白色背景上的正方形圖案中，可以使用圖像處理設(shè)備來掃描QR碼。它將首先通過正方形識別代碼的位置，然后讀取點(diǎn)中編碼的信息，除了實(shí)際的代碼外，方形區(qū)域還可以容納裝飾元素，例如公司徽標(biāo)。

　　二維碼比1D條形碼能夠編碼更多的數(shù)據(jù)，它們通常用于編碼指向各種資源的超鏈接，例如商店目錄、結(jié)賬頁面或建筑信息頁面。

　　電子郵件中的惡意二維碼

　　攻擊者使用二維碼對網(wǎng)絡(luò)釣魚和詐騙頁面的鏈接進(jìn)行編碼，研究人員在2021年底注冊了第一次使用該技巧進(jìn)行惡意電子郵件活動的嘗試。這些都是模仿聯(lián)邦快遞（FedEx）和DHL等快遞服務(wù)公司電子郵件的詐騙信息，受害者會被誘騙通過掃描二維碼支付關(guān)稅，編碼的鏈接正在重定向到一個偽造的銀行卡數(shù)據(jù)輸入頁面。這場活動的規(guī)模不大，并到2022年年中有所減少。研究人員在2023年春季觀察到的以二維碼為特色的新電子郵件活動，與第一次不同的是，這次是針對微軟產(chǎn)品企業(yè)用戶的登錄名和密碼。

　　攻擊者向受害者發(fā)送信息，告知他們的公司電子郵件帳戶密碼即將過期，為了保留對賬戶的訪問權(quán)限，用戶需要掃描二維碼。一些電子郵件將來自免費(fèi)郵件地址，另一些則來自最近注冊的域名，在一些信息中，攻擊者在二維碼中添加了微軟安全標(biāo)志，以提高可信度。
　　在收到釣魚郵件并掃描代碼后，用戶將被重定向到一個類似微軟登錄頁面的虛假登錄頁面，只要輸入登錄名和密碼，攻擊者就可以訪問該帳戶。

　　除了敦促用戶更改密碼或更新個人數(shù)據(jù)的消息外，我們還檢測到一個未發(fā)送的電子郵件通知活動，該活動還使用二維碼重定向到虛假的微軟帳戶登錄頁面。
　　以下截圖所示的信件沒有二維碼標(biāo)志，但帶有“此郵件來自可信來源”的字樣，讓用戶放松警惕。


　　掃描二維碼時看到的一些頁面位于IPFS資源中，攻擊者會用這種分布式文件系統(tǒng)發(fā)起攻擊。IPFS是一種點(diǎn)對點(diǎn)的網(wǎng)絡(luò)協(xié)議，旨在創(chuàng)建持久且分布式存儲和共享文件的網(wǎng)絡(luò)傳輸協(xié)議，IPFS網(wǎng)絡(luò)釣魚活動與傳統(tǒng)網(wǎng)絡(luò)釣魚活動類似，攻擊者模仿合法服務(wù)和軟件（如DHL、DocuSign和Adobe）來增加進(jìn)入目標(biāo)收件箱的可能性。

　　從2023年6月到8月，研究人員檢測到8878封包含二維碼的網(wǎng)絡(luò)釣魚郵件，惡意活動在6月份達(dá)到頂峰，有5063封信，到8月份減少到762封信。
　　2023年6月至8月帶有二維碼的釣魚電子郵件數(shù)量趨勢2023年6月至8月帶有二維碼的釣魚電子郵件數(shù)量趨勢

　　總結(jié)

　　攻擊者可以通過多種方式使用二維碼。首先，這些代碼使他們能夠避免安全措施檢測和屏蔽他們的電子郵件，查看二維碼內(nèi)容并不容易，而且消息中沒有釣魚鏈接；此外，一封信不能僅僅因?yàn)槔锩嬗卸S碼就被屏蔽，盡管二維碼不是一個流行的電子郵件元素，但二維碼也可以用于合法的通信，例如發(fā)件人的自動簽名；其次，由于消息中不包含鏈接，因此無需注冊額外的帳戶或域來重定向用戶，從而隱藏網(wǎng)絡(luò)釣魚；最后，大多數(shù)用戶使用智能手機(jī)攝像頭掃描二維碼，并希望盡快解決問題。因此，他們可能會忽略重定向到的頁面的地址行，因?yàn)樗谝苿訛g覽器中不太顯眼。

　　另一方面，合法發(fā)件人幾乎從不在郵件中使用二維碼，因此僅僅在電子郵件中出現(xiàn)二維碼就可能引發(fā)懷疑；此外，掃描二維碼需要另一個設(shè)備，而用戶可能沒有現(xiàn)成的設(shè)備。目前研究人員還沒有觀察到許多基于二維碼的攻擊活動，他們只能假設(shè)實(shí)際掃描代碼的收件人不多。盡管如此，考慮到該機(jī)制的使用情況，預(yù)計(jì)這種攻擊在短期內(nèi)會增加，且活動本身也會變得更加復(fù)雜，并針對特定目標(biāo)進(jìn)行調(diào)整。