拿出你的手机,扫描二维码,然后支付,就这么简单,对吧?在印度,几乎每个人都使用 UPI,而每个商家都有一个可以方便支付商品和服务的二维码。然而,如果只有这一个用途就好了。最近的报告表明,骗子们制定了‘QR钓鱼’攻击或‘Quishing’,通过扫描二维码来窃取敏感数据、注入木马或恶意软件,或者从银行账户中盗取资金,这已成为现实。
不幸的是,许多人并不知道这种虚拟的与二维码相关的骗局,这意味着坏人可以轻而易举地武装二维码,而受害者却不知道自己已经受到了攻击。在本文中,我们将解释什么是quishing,它与网络钓鱼攻击有什么关系,以及如何避免被陷阱,这可能会让你失去一生的积蓄甚至更多。
什么是网络钓鱼?
网络钓鱼是一种社会工程攻击,攻击者创建看似相似的网站和门户,与其原始对应物相似。这种攻击通过欺骗人们输入其登录凭据、借记/信用卡详细信息或安装恶意软件等方式来进行。
例如,如果你在谷歌上搜索任何XYX银行的网站,你可能会进入一个仿冒网站,它与该银行的原始网站非常相似,提示用户输入其敏感信息,只为落入一个神秘的陷阱,这可能危及他们的隐私、安全、银行余额或其他资产。
什么是Quishing?
走进任何杂货店或商场,你都会找到小方格的二维码,可以用于直接访问网站、打开菜单、进入一个支付网关,其中接收者的详细信息已经填好,等等。我们在执行任何与二维码相关的操作之前往往不假思索,只是为了支付商品或服务,然而,这是很危险的。
攻击者利用这种脆弱性,创建了假二维码,可以放置在网站、电子邮件、钓鱼网站上,或者可以是放置在咖啡馆、办公室、建筑物外等物理二维码。传单、报纸、社交媒体照片、物理广告、食品包装和几乎任何虚拟或物理前端都可以用于发布钓鱼二维码,等待下一个潜在受害者。
一旦你扫描了这些二维码,你将会丢失关键的登录凭据或用户信息,或者它可能会将你带到一个伪造的网站,比如你的银行或亚马逊,或者在你不知情的情况下安装恶意软件。不幸的是,检测这些quishing攻击变得困难,因为攻击者不断发展他们的策略,以针对无辜的用户。
此外,这也是一种挑战,因为这些二维码通常是在不同的设备上扫描的。你可能在电脑上得到一个钓鱼二维码,而你会在手机上扫描它,这使得这种攻击效果非常强大。
如何检测Quishing攻击?
攻击者使用各种社会工程方法来掩盖他们的quishing攻击,使其不易被识别。然而,有一些明显的迹象可以帮助你识别quishing攻击。
常见迹象: 寻找拼写错误、语法错误、看起来相似但URL、标志和字体使用上有微小差异的钓鱼网站,以及类似的电子邮件地址等。请注意,这些拼写错误可能不是因为写作不合格,而是为了模仿一个版权名称、标志或资产,同时保持相似的外观和感觉。
文字属性: 大多数时候,quishing邮件携带情感操纵策略,以制造紧迫感,以获得更高的成功率。人们可以轻松地使用人工智能来识别这种攻击。攻击者可能会创建一个钓鱼网站,要求你提供某些信息,并威胁说账户将被关闭或服务将停止。
悬停而不是点击: 如果我给你发送一个超链接,上面写着“查看 OnePlus 12 的价格”,你会怎么做?你会认为这会把你带到 SmartPrix 的一个专页、OnePlus 网站或者一个可用的电子商务平台,对吧?好吧,攻击者可以使用这种类型的超链接将你带到一个钓鱼网站。因此,最好总是悬停在超链接上,检查URL是否合法。
过于美好的事情: 有一句流行的说法,如果某事看起来太美好,那么很可能就是。因此,如果钓鱼尝试周围的优惠或陈述看起来太好了,最好放弃,不要去理会。
如何避免Quishing攻击?
即使被抓到,你也可能无法挽回因Quishing而损失的钱。因此,最好在事先谨慎行事。这是一些你必须记住的要点。
- 避免扫描在随机和陌生的地方发布的二维码,比如一个随机的社交媒体帖子要求你扫描。
- 如果优惠看起来太美好,最好远离。
- 始终确保你的网站有https,因为钓鱼网站可能看起来与原始网站相似,但在URL中没有https标记。
- 如果你发现任何错误、拼写错误、稍微偏离的标志或文本,或者任何一个真正的品牌可能不会做的事情,它可能是对你的一种钓鱼尝试。
- 避免在陌生的地方、网站或途径输入你的PIN码或提供任何敏感信息。
- 在点击之前悬停在链接上,检查URL是否合法。
- 远离来自陌生来源的电子邮件附件。
总结:
网络钓鱼或quishing攻击可能在视线中不明显,但一些明显的迹象可以帮助你区分,比如上面提到的那些。无论是在关注任何社交媒体帐户、访问一个陌生的网站或地方,还是无论是虚拟的还是物理的,都要谨慎行事,因为这对你大有好处。
本文来自投稿,不代表TePhone特锋手机网立场,如若转载,请注明出处:https://www.tephone.com/article/7166
