二维码（QR Code）陷阱 | 一个一个黑白相间的正方形格子，正成为全球间谍与科技罪犯最新鲜的武器。近日中华人民共和国国家安全部（国安部）发布了安全提示，明确点名3种二维码非常危险，让群众“千万不要扫”。

不论是北上深圳消费点餐，还是去日韩欧美旅游，扫码关注，扫码支付，扫码登录等等，二维码已经融入工作、生活的方方面面，提供了巨大的便利。用手机对著各种二维码（QR Code）扫一扫已经变成本能。但是最近中华人民共和国国家安全部（国安部）发布了安全提示，明确点名3种二维码非常危险，让群众“千万不要扫”。

翻查海内外执法记录，香港警务处守网者网站与美国联邦调查局（FBI），近期都不约而同地针对这种新兴“Quishing”犯罪发出警告。

中国国安部点名的三种二维码分别是什么？

【1】利益诱惑型二维码：商场，集市常有来历不明人员以“填问卷送公仔”、“扫码免费领行动电源”为幌子，诱骗路人扫码。这些二维码背后下载的不是商户的应用程式，而是定制的木马病毒程序。

【2】伪装查验型二维码：犯罪分子将恶意链接伪装成官方公告，例如违例泊车罚单或者一些餐厅墙上的点餐码。用家扫码后会进入一个与正版十分相似的钓鱼网站，一旦输入个人资料或网银密码，资金分分钟被犯罪分子洗劫一空。

【3】涉密设备型二维码：国安部指出，在军事禁区或敏感区域附近，经常有间谍故意遗留伪装成各种物件的非法设备，并在这种非法设备上贴有二维码。若有市民出于好奇扫码，手机就会立刻被植入恶意软件。

随意扫码有风险

【1】入侵终端，窃取个人隐私：不法分子诱导群众扫描问题二维码，会直接触发跳转钓鱼链接、下载病毒程序、获取用家权限等情形，得手后长期窃取个人隐私数据与涉密敏感讯息等。

【2】倒卖数据，危害社会安全：不法分子可能将诱导用家扫码所窃取的个人隐私和敏感数据进行批量倒卖。数据流入黑灰产业链后，可能被用于精准诈骗、身份冒用等违法犯罪活动，给人民群众切身利益造成危害。

【3】泄露秘密，威胁国家安全：不法分子可根据批量收集的涉密单位人员讯息，分析出涉密单位基本情况、人员活动规律，甚至锁定涉密岗位工作人员的准确讯息，并据此开展渗透窃密活动，给国家安全带来威胁。

什么是Quishing，为何全球执法机构高度紧张？

Quishing就是“QR Code”与“Phishing”的组合，也就是“二维码钓鱼”的意思。

根据FBI发布的互联网安全警示，传统的互联网钓鱼（Phishing）主要透过电子邮件或短讯发送恶意网址（URL），企业与个人的防毒软件能轻易识别并拦截。但二维码本质上是一张图片。电脑安全系统无法直接“看懂”图片里隐藏的恶意代码，这让Quishing邮件得以轻易穿透企业的防火墙，直接送到用家面前。

香港警务处在“守网者”平台上也多次揭示类似的跨境骗局。不少香港市民在海外网站订购机票或者酒店后，收到伪装成官方客服的电邮，声称“付款失败，请扫描下方二维码重新支付”。市民不虞有诈，用手机一扫，钱就直接进了境外洗钱集团的帐户。

最后提醒用家们，警惕涉密单位周围展开的各类不明背景的扫码活动，不贪图小利，不下载非官方APP，不轻易授权位置与通讯录等敏感权限，避免给不法分子可乘之机。

如果确实需要扫码，也要提前擦亮双眼，认真查看二维码是否存在粘贴，覆盖等痕迹，确认为官方发布并且入口安全可靠后再操作，坚决不扫来源不明的二维码。

【延伸阅读】支付宝这3道锁记得打开！少1个都容易被诈骗犯攻破造成资金损失（点击阅读全文）