坑爹新騙術：二維碼刷單

現在生活在城里的年輕人，身上不帶錢包太正常了。這群掃碼達人的日常大概是：

路人甲：美女，掃個碼唄？成為我家會有禮品送哦！

女主角：好呀好呀！

路人乙：美女，掃這個吃飯可以打折哦~

女主角：好的。

路人丙：美女修眉嗎？掃個碼填寫下資料就免費修眉哦！

女主角：好哇好哇！

路人……X：美……

女主角：不用說了，拿出碼來，我掃，有什么優惠呢？

……

然而這些看起來似乎很正常的掃碼背后如果暗藏著殺機……

套路啊！二維碼刷單是個坑

雷鋒網消息，最近做生意幾十年的王女士接連收到數條陌生號碼的“討債”來電和短信，一開始還不在意的王女士在看到相似內容的信息后才意識到有人冒用公司信息騙錢。

其中有條來自貴州的信息，“大騙子，你們騙一個窮學生的錢就不會覺得良心不安嗎，做什么不好偏做這種勾當，你們騙的都是別人的血汗錢，都是別人的生活費，你們騙去后用著心安嗎，大騙子....”

這條短信來自貴州某大學大二學生，9月23日她收到一條短信，“您的淘寶網買家信譽良好，現誠聘您利用空閑時間來為各大店鋪刷信譽。工作無需押金，工作隨時結算……”內容的短信。

小姑娘心一動，加了短信中留的QQ號。這個QQ號的頭像為一名女性，自稱叫王萱，她按照對方發來的購物鏈接以及需要的件數，通過對方發來的微信二維碼，支付了1414元，之后又刷了一筆。

此時，姑娘發現自己賬戶里的錢不翼而飛，王萱稱必須刷夠3筆才能得到報酬，在姑娘拒絕并要求其退錢時把她拉進黑名單。

之后通過微信支付的明細，姑娘查到收款方為西安某商貿有限公司，并通過網絡查詢到該公司的聯系方式，電話撥通后，老板也就是王女士稱她公司從不使用二維碼，這才趕忙報了警。

實際上，只要在網絡搜索該商貿有限公司，除了地址、注冊資本等信息外，還有王女士的私人聯系方式。而通過網頁上的二維碼生成器，輸入公司的名稱，就能生成公司的二維碼。

這簡直太猖狂了，只有你想不到，沒有騙子做不到。

掃一掃詐騙？花招多著呢

俗話說人紅是非多，自從二維碼火起來后不少人忍不住拿它做起了文章，無論是前段時間火遍朋友圈的騰訊公益活動鏈接，被替換二維碼，還是最近的刷單二維碼等手段，不少惡意二維碼的存在只要掃一掃就會“中毒”。

眾所周知，二維碼是一張能存儲信息的擁有特定格式的圖形，能夠在橫向和縱向兩個方位同時表達信息，個人名片、網址、付款和收款信息等都可以通過二維碼圖案展現出來。

而目前，我國廣泛使用的二維碼為源于日本的快速響應碼(QR碼)，QR碼沒有在國內申請專利，采取了免費開放的市場策略，即誰都可以通過網絡下載二維碼生成，生成所需的二維碼。

雷鋒網編輯在網絡搜索“二維碼生成器”，竟然出現458萬余個搜索結果，打開頁面最靠前的一個二維碼生成器，發現僅需在頁面左側輸入名稱，即時就生成該名稱的二維碼。

這簡直是把本秘笈光明正大放在外面，誰瞅兩眼都能比劃個一招半式。

正是因為二維碼的制作生成沒有任何門檻，不法分子將病毒、木馬程序、扣費軟件等編入二維碼，用戶一旦掃描，手機就會被植入的病毒木馬感染，身份證、銀行卡號、支付密碼等私人信息就會被盜取。

知乎網友黃瑋將掃一掃“中毒”歸納為三種方式：

第一種即釣魚網址。在手機上，打開一個網址本身在大多數情況下是安全的，但危險在于停留在這個打開的網站上，用戶的行為，比如主動輸入信用卡號、支付寶帳號密碼、驗證碼。另外，網址并不等于網站入口。比如，有一類特殊的網址，叫做偽協議地址，例如sms://、tel://等等，這些點擊之后，在不同的系統上有可能會打開不同的應用程序，例如發短信、打電話等等。

第二種是HTML/JS混合代碼，這是由于很多二維碼軟件提供了所謂的智能內容感知和識別，調用了瀏覽器解釋引擎去承載和處理這些代碼，實質上就是給“病毒”提供了“溫床”，所以會“中毒”。但就已知的攻擊案例來說，純第三方二維碼類應用軟件即使被瀏覽器客戶端惡意代碼攻擊，對用戶造成的影響也很有限。而對用戶造成較大影響的有兩種情況：

⑴惡意代碼直接攻擊瀏覽器解釋引擎，造成內存破壞類攻擊，獲得原生應用程序級別的任意代碼執行甚至是提升權限。這種問題發生的概率要遠遠小于PC端瀏覽器遭受同類型攻擊的概率。主要原因是：大多數攻擊程序是需要一定“行數”的代碼組成的，而二維碼的承載數據能力又是受限制于圖片編碼的容量極限的。簡單理解就是：復雜攻擊需要更多行數的代碼，較少行數的代碼只能實現較簡單的“攻擊”，二維碼由于自身設計的“缺陷”，無法提供惡意代碼存儲所必要的足夠空間，故攻擊想象空間和影響效果有限。

⑵update: CVE -CVE-2013-4710 是目前被利用最廣泛、效果最好（基于這個漏洞利用的惡意代碼可以執行任意Java方法）的針對安卓手機平臺的網頁“掛馬”漏洞，那么有什么危害呢？簡單來說，如果掃碼軟件有root權限，那么惡意代碼也可以獲得root權限。如果掃碼軟件可以訪問你的通訊錄，惡意代碼也可以。總之，借助這個漏洞掃碼軟件掃一下就被安裝上惡意軟件、扣費程序并不是癡人說夢了。

第三種是自定義的二維碼應用。雖然二維碼本身承載的其實就只是普通文本數據（數字、字符等），但有些軟件給這些數據定義了一些自己的解析規則，目的是實現掃碼后自動XXX或自動YYY。壞就壞在這個自動化的過程，給了數據一秒變病毒的機會。如何理解？參考Web安全里的SQL注入、XSS等，就是最典型的數據一秒變病毒的參考案例。

上面3類“病毒”，第一種為需要用戶交互才能得逞的病毒，后兩種無需用戶交互即可實現“感染”。當然，目前前者的攻擊方式較為常見，后兩者攻擊易得手但造成的影響多是有限。

看完了這些，還敢隨便掃一掃嗎？

雷鋒網編輯也在這里貼心地為大家準備了防被騙技能，

技能一：莫要貪便宜輕易掃一掃。

技能二：銀行卡只留兩毛錢。

以上，完畢。

參考鏈接：

http://www.cnbeta.com/articles/tech/655159.htm

https://www.zhihu.com/question/20834260/answer/16354900?utm_medium=social&utm_source=wechat_session

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。