坑爹新騙術：二維碼刷單

現在生活在城裡的年輕人，身上不帶錢包太正常了。這群掃碼達人的日常大概是：

路人甲：美女，掃個碼唄？成為我家會有禮品送哦！

女主角：好呀好呀！

路人乙：美女，掃這個吃飯可以打折哦~

女主角：好的。

路人丙：美女修眉嗎？掃個碼填寫下資料就免費修眉哦！

女主角：好哇好哇！

路人……X：美……

女主角：不用說了，拿出碼來，我掃，有什麼優惠呢？

……

然而這些看起來似乎很正常的掃碼背後如果暗藏著殺機……

GIF/133K

套路啊！二維碼刷單是個坑

雷鋒網消息，最近做生意幾十年的王女士接連收到數條陌生號碼的「討債」來電和簡訊，一開始還不在意的王女士在看到相似內容的信息後才意識到有人冒用公司信息騙錢。

其中有條來自貴州的信息，「大騙子，你們騙一個窮學生的錢就不會覺得良心不安嗎，做什麼不好偏做這種勾當，你們騙的都是別人的血汗錢，都是別人的生活費，你們騙去後用著心安嗎，大騙子....」

這條簡訊來自貴州某大學大二學生，9月23日她收到一條簡訊，「您的淘寶網買家信譽良好，現誠聘您利用空閑時間來為各大店鋪刷信譽。工作無需押金，工作隨時結算……」內容的簡訊。

小姑娘心一動，加了簡訊中留的QQ號。這個QQ號的頭像為一名女性，自稱叫王萱，她按照對方發來的購物鏈接以及需要的件數，通過對方發來的微信二維碼，支付了1414元，之後又刷了一筆。

此時，姑娘發現自己賬戶里的錢不翼而飛，王萱稱必須刷夠3筆才能得到報酬，在姑娘拒絕並要求其退錢時把她拉進黑名單。

之後通過微信支付的明細，姑娘查到收款方為西安某商貿有限公司，並通過網路查詢到該公司的聯繫方式，電話撥通後，老闆也就是王女士稱她公司從不使用二維碼，這才趕忙報了警。

實際上，只要在網路搜索該商貿有限公司，除了地址、註冊資本等信息外，還有王女士的私人聯繫方式。而通過網頁上的二維碼生成器，輸入公司的名稱，就能生成公司的二維碼。

GIF/485K

這簡直太猖狂了，只有你想不到，沒有騙子做不到。

掃一掃詐騙？花招多著呢

俗話說人紅是非多，自從二維碼火起來後不少人忍不住拿它做起了文章，無論是前段時間火遍朋友圈的騰訊公益活動鏈接，被替換二維碼，還是最近的刷單二維碼等手段，不少惡意二維碼的存在只要掃一掃就會「中毒」。

眾所周知，二維碼是一張能存儲信息的擁有特定格式的圖形，能夠在橫向和縱向兩個方位同時表達信息，個人名片、網址、付款和收款信息等都可以通過二維碼圖案展現出來。

雷鋒網編輯在網路搜索「二維碼生成器」，竟然出現458萬餘個搜索結果，打開頁面最靠前的一個二維碼生成器，發現僅需在頁面左側輸入名稱，即時就生成該名稱的二維碼。

這簡直是把本秘笈光明正大放在外面，誰瞅兩眼都能比劃個一招半式。

GIF/87K

正是因為二維碼的製作生成沒有任何門檻，不法分子將病毒、木馬程序、扣費軟體等編入二維碼，用戶一旦掃描，手機就會被植入的病毒木馬感染，身份證、銀行卡號、支付密碼等私人信息就會被盜取。

知乎網友黃瑋將掃一掃「中毒」歸納為三種方式：

第一種即釣魚網址。在手機上，打開一個網址本身在大多數情況下是安全的，但危險在於停留在這個打開的網站上，用戶的行為，比如主動輸入信用卡號、支付寶帳號密碼、驗證碼。另外，網址並不等於網站入口。比如，有一類特殊的網址，叫做偽協議地址，例如sms://、tel://等等，這些點擊之後，在不同的系統上有可能會打開不同的應用程序，例如發簡訊、打電話等等。

GIF/125K

第二種是HTML/JS混合代碼，這是由於很多二維碼軟體提供了所謂的智能內容感知和識別，調用了瀏覽器解釋引擎去承載和處理這些代碼，實質上就是給「病毒」提供了「溫床」，所以會「中毒」。但就已知的攻擊案例來說，純第三方二維碼類應用軟體即使被瀏覽器客戶端惡意代碼攻擊，對用戶造成的影響也很有限。而對用戶造成較大影響的有兩種情況：

惡意代碼直接攻擊瀏覽器解釋引擎，造成內存破壞類攻擊，獲得原生應用程序級別的任意代碼執行甚至是提升許可權。這種問題發生的概率要遠遠小於PC端瀏覽器遭受同類型攻擊的概率。主要原因是：大多數攻擊程序是需要一定「行數」的代碼組成的，而二維碼的承載數據能力又是受限制於圖片編碼的容量極限的。簡單理解就是：複雜攻擊需要更多行數的代碼，較少行數的代碼只能實現較簡單的「攻擊」，二維碼由於自身設計的「缺陷」，無法提供惡意代碼存儲所必要的足夠空間，故攻擊想像空間和影響效果有限。

update: CVE -CVE-2013-4710 是目前被利用最廣泛、效果最好（基於這個漏洞利用的惡意代碼可以執行任意Java方法）的針對安卓手機平台的網頁「掛馬」漏洞，那麼有什麼危害呢？簡單來說，如果掃碼軟體有root許可權，那麼惡意代碼也可以獲得root許可權。如果掃碼軟體可以訪問你的通訊錄，惡意代碼也可以。總之，藉助這個漏洞掃碼軟體掃一下就被安裝上惡意軟體、扣費程序並不是痴人說夢了。

GIF/1.6M

第三種是自定義的二維碼應用。雖然二維碼本身承載的其實就只是普通文本數據（數字、字元等），但有些軟體給這些數據定義了一些自己的解析規則，目的是實現掃碼後自動XXX或自動YYY。壞就壞在這個自動化的過程，給了數據一秒變病毒的機會。如何理解？參考Web安全里的SQL注入、XSS等，就是最典型的數據一秒變病毒的參考案例。

上面3類「病毒」，第一種為需要用戶交互才能得逞的病毒，後兩種無需用戶交互即可實現「感染」。當然，目前前者的攻擊方式較為常見，後兩者攻擊易得手但造成的影響多是有限。

看完了這些，還敢隨便掃一掃嗎？

GIF/457K

雷鋒網編輯也在這裡貼心地為大家準備了放被騙技能，

技能一：莫要貪便宜輕易掃一掃。

技能二：銀行卡只留兩毛錢。

以上，完畢。

參考鏈接：

http://www.cnbeta.com/articles/tech/655159.htm

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！