現(xiàn)在生活在城里的年輕人，身上不帶錢包太正常了。這群掃碼達人的日常大概是：

路人甲：美女，掃個碼唄？成為我家會有禮品送哦！

女主角：好呀好呀！

路人乙：美女，掃這個吃飯可以打折哦~

女主角：好的。

路人丙：美女修眉嗎？掃個碼填寫下資料就免費修眉哦！

女主角：好哇好哇！

路人……X：美……

女主角：不用說了，拿出碼來，我掃，有什么優(yōu)惠呢？

……

然而這些看起來似乎很正常的掃碼背后如果暗藏著殺機……

套路??！二維碼刷單是個坑

雷鋒網(wǎng)消息，最近做生意幾十年的王女士接連收到數(shù)條陌生號碼的“討債”來電和短信，一開始還不在意的王女士在看到相似內(nèi)容的信息后才意識到有人冒用公司信息騙錢。

其中有條來自貴州的信息，“大騙子，你們騙一個窮學生的錢就不會覺得良心不安嗎，做什么不好偏做這種勾當，你們騙的都是別人的血汗錢，都是別人的生活費，你們騙去后用著心安嗎，大騙子....”

這條短信來自貴州某大學大二學生，9月23日她收到一條短信，“您的淘寶網(wǎng)買家信譽良好，現(xiàn)誠聘您利用空閑時間來為各大店鋪刷信譽。工作無需押金，工作隨時結算……”內(nèi)容的短信。

小姑娘心一動，加了短信中留的QQ號。這個QQ號的頭像為一名女性，自稱叫王萱，她按照對方發(fā)來的購物鏈接以及需要的件數(shù)，通過對方發(fā)來的微信二維碼，支付了1414元，之后又刷了一筆。

此時，姑娘發(fā)現(xiàn)自己賬戶里的錢不翼而飛，王萱稱必須刷夠3筆才能得到報酬，在姑娘拒絕并要求其退錢時把她拉進黑名單。

之后通過微信支付的明細，姑娘查到收款方為西安某商貿(mào)有限公司，并通過網(wǎng)絡查詢到該公司的聯(lián)系方式，電話撥通后，老板也就是王女士稱她公司從不使用二維碼，這才趕忙報了警。

實際上，只要在網(wǎng)絡搜索該商貿(mào)有限公司，除了地址、注冊資本等信息外，還有王女士的私人聯(lián)系方式。而通過網(wǎng)頁上的二維碼生成器，輸入公司的名稱，就能生成公司的二維碼。

這簡直太猖狂了，只有你想不到，沒有騙子做不到。

掃一掃詐騙？花招多著呢

俗話說人紅是非多，自從二維碼火起來后不少人忍不住拿它做起了文章，無論是前段時間火遍朋友圈的騰訊公益活動鏈接，被替換二維碼，還是最近的刷單二維碼等手段，不少惡意二維碼的存在只要掃一掃就會“中毒”。

眾所周知，二維碼是一張能存儲信息的擁有特定格式的圖形，能夠在橫向和縱向兩個方位同時表達信息，個人名片、網(wǎng)址、付款和收款信息等都可以通過二維碼圖案展現(xiàn)出來。

而目前，我國廣泛使用的二維碼為源于日本的快速響應碼(QR碼)，QR碼沒有在國內(nèi)申請專利，采取了免費開放的市場策略，即誰都可以通過網(wǎng)絡下載二維碼生成，生成所需的二維碼。

雷鋒網(wǎng)編輯在網(wǎng)絡搜索“二維碼生成器”，竟然出現(xiàn)458萬余個搜索結果，打開頁面最靠前的一個二維碼生成器，發(fā)現(xiàn)僅需在頁面左側(cè)輸入名稱，即時就生成該名稱的二維碼。

這簡直是把本秘笈光明正大放在外面，誰瞅兩眼都能比劃個一招半式。

正是因為二維碼的制作生成沒有任何門檻，不法分子將病毒、木馬程序、扣費軟件等編入二維碼，用戶一旦掃描，手機就會被植入的病毒木馬感染，身份證、銀行卡號、支付密碼等私人信息就會被盜取。

知乎網(wǎng)友黃瑋將掃一掃“中毒”歸納為三種方式：

第一種即釣魚網(wǎng)址。在手機上，打開一個網(wǎng)址本身在大多數(shù)情況下是安全的，但危險在于停留在這個打開的網(wǎng)站上，用戶的行為，比如主動輸入信用卡號、支付寶帳號密碼、驗證碼。另外，網(wǎng)址并不等于網(wǎng)站入口。比如，有一類特殊的網(wǎng)址，叫做偽協(xié)議地址，例如sms://、tel://等等，這些點擊之后，在不同的系統(tǒng)上有可能會打開不同的應用程序，例如發(fā)短信、打電話等等。

第二種是HTML/JS混合代碼，這是由于很多二維碼軟件提供了所謂的智能內(nèi)容感知和識別，調(diào)用了瀏覽器解釋引擎去承載和處理這些代碼，實質(zhì)上就是給“病毒”提供了“溫床”，所以會“中毒”。但就已知的攻擊案例來說，純第三方二維碼類應用軟件即使被瀏覽器客戶端惡意代碼攻擊，對用戶造成的影響也很有限。而對用戶造成較大影響的有兩種情況：

⑴惡意代碼直接攻擊瀏覽器解釋引擎，造成內(nèi)存破壞類攻擊，獲得原生應用程序級別的任意代碼執(zhí)行甚至是提升權限。這種問題發(fā)生的概率要遠遠小于PC端瀏覽器遭受同類型攻擊的概率。主要原因是：大多數(shù)攻擊程序是需要一定“行數(shù)”的代碼組成的，而二維碼的承載數(shù)據(jù)能力又是受限制于圖片編碼的容量極限的。簡單理解就是：復雜攻擊需要更多行數(shù)的代碼，較少行數(shù)的代碼只能實現(xiàn)較簡單的“攻擊”，二維碼由于自身設計的“缺陷”，無法提供惡意代碼存儲所必要的足夠空間，故攻擊想象空間和影響效果有限。

⑵update: CVE -CVE-2013-4710 是目前被利用最廣泛、效果最好（基于這個漏洞利用的惡意代碼可以執(zhí)行任意Java方法）的針對安卓手機平臺的網(wǎng)頁“掛馬”漏洞，那么有什么危害呢？簡單來說，如果掃碼軟件有root權限，那么惡意代碼也可以獲得root權限。如果掃碼軟件可以訪問你的通訊錄，惡意代碼也可以。總之，借助這個漏洞掃碼軟件掃一下就被安裝上惡意軟件、扣費程序并不是癡人說夢了。

第三種是自定義的二維碼應用。雖然二維碼本身承載的其實就只是普通文本數(shù)據(jù)（數(shù)字、字符等），但有些軟件給這些數(shù)據(jù)定義了一些自己的解析規(guī)則，目的是實現(xiàn)掃碼后自動XXX或自動YYY。壞就壞在這個自動化的過程，給了數(shù)據(jù)一秒變病毒的機會。如何理解？參考Web安全里的SQL注入、XSS等，就是最典型的數(shù)據(jù)一秒變病毒的參考案例。

上面3類“病毒”，第一種為需要用戶交互才能得逞的病毒，后兩種無需用戶交互即可實現(xiàn)“感染”。當然，目前前者的攻擊方式較為常見，后兩者攻擊易得手但造成的影響多是有限。

看完了這些，還敢隨便掃一掃嗎？

雷鋒網(wǎng)編輯也在這里貼心地為大家準備了防被騙技能，

技能一：莫要貪便宜輕易掃一掃。

技能二：銀行卡只留兩毛錢。

以上，完畢。

參考鏈接：

http://www.cnbeta.com/articles/tech/655159.htm

https://www.zhihu.com/question/20834260/answer/16354900?utm_medium=social&utm_source=wechat_session

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。