最近做生意幾十年的王女士接連收到數(shù)條陌生號碼的“討債”來電和短信，一開始還不在意的王女士在看到相似內(nèi)容的信息后才意識到有人冒用公司信息騙錢。

其中有條來自貴州的信息，“大騙子，你們騙一個窮學(xué)生的錢就不會覺得良心不安嗎，做什么不好偏做這種勾當(dāng)，你們騙的都是別人的血汗錢，都是別人的生活費(fèi)，你們騙去后用著心安嗎，大騙子....”

這條短信來自貴州某大學(xué)大二學(xué)生，9月23日她收到一條短信，“您的淘寶網(wǎng)買家信譽(yù)良好，現(xiàn)誠聘您利用空閑時間來為各大店鋪刷信譽(yù)。工作無需押金，工作隨時結(jié)算……”內(nèi)容的短信。

小姑娘心一動，加了短信中留的QQ號。這個QQ號的頭像為一名女性，自稱叫王萱，她按照對方發(fā)來的購物鏈接以及需要的件數(shù)，通過對方發(fā)來的微信二維碼，支付了1414元，之后又刷了一筆。

此時，姑娘發(fā)現(xiàn)自己賬戶里的錢不翼而飛，王萱稱必須刷夠3筆才能得到報酬，在姑娘拒絕并要求其退錢時把她拉進(jìn)黑名單。

之后通過微信支付的明細(xì)，姑娘查到收款方為西安某商貿(mào)有限公司，并通過網(wǎng)絡(luò)查詢到該公司的聯(lián)系方式，電話撥通后，老板也就是王女士稱她公司從不使用二維碼，這才趕忙報了警。

實(shí)際上，只要在網(wǎng)絡(luò)搜索該商貿(mào)有限公司，除了地址、注冊資本等信息外，還有王女士的私人聯(lián)系方式。而通過網(wǎng)頁上的二維碼生成器，輸入公司的名稱，就能生成公司的二維碼。

這簡直太猖狂了，只有你想不到，沒有騙子做不到。

眾所周知，二維碼是一張能存儲信息的擁有特定格式的圖形，能夠在橫向和縱向兩個方位同時表達(dá)信息，個人名片、網(wǎng)址、付款和收款信息等都可以通過二維碼圖案展現(xiàn)出來。

而目前，我國廣泛使用的二維碼為源于日本的快速響應(yīng)碼(QR碼)，QR碼沒有在國內(nèi)申請專利，采取了免費(fèi)開放的市場策略，即誰都可以通過網(wǎng)絡(luò)下載二維碼生成，生成所需的二維碼。

雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))編輯在網(wǎng)絡(luò)搜索“二維碼生成器”，竟然出現(xiàn)458萬余個搜索結(jié)果，打開頁面最靠前的一個二維碼生成器，發(fā)現(xiàn)僅需在頁面左側(cè)輸入名稱，即時就生成該名稱的二維碼。

這簡直是把本秘笈光明正大放在外面，誰瞅兩眼都能比劃個一招半式。

正是因?yàn)槎S碼的制作生成沒有任何門檻，不法分子將病毒、木馬程序、扣費(fèi)軟件等編入二維碼，用戶一旦掃描，手機(jī)就會被植入的病毒木馬感染，身份證、銀行卡號、支付密碼等私人信息就會被盜取。

網(wǎng)友將掃一掃“中毒”歸納為三種方式：

第一種即釣魚網(wǎng)址。在手機(jī)上，打開一個網(wǎng)址本身在大多數(shù)情況下是安全的，但危險在于停留在這個打開的網(wǎng)站上，用戶的行為，比如主動輸入信用卡號、支付寶帳號密碼、驗(yàn)證碼。另外，網(wǎng)址并不等于網(wǎng)站入口。比如，有一類特殊的網(wǎng)址，叫做偽協(xié)議地址，例如sms://、tel://等等，這些點(diǎn)擊之后，在不同的系統(tǒng)上有可能會打開不同的應(yīng)用程序，例如發(fā)短信、打電話等等。

第二種是HTML/JS混合代碼，這是由于很多二維碼軟件提供了所謂的智能內(nèi)容感知和識別，調(diào)用了瀏覽器解釋引擎去承載和處理這些代碼，實(shí)質(zhì)上就是給“病毒”提供了“溫床”，所以會“中毒”。但就已知的攻擊案例來說，純第三方二維碼類應(yīng)用軟件即使被瀏覽器客戶端惡意代碼攻擊，對用戶造成的影響也很有限。而對用戶造成較大影響的有兩種情況：

⑴惡意代碼直接攻擊瀏覽器解釋引擎，造成內(nèi)存破壞類攻擊，獲得原生應(yīng)用程序級別的任意代碼執(zhí)行甚至是提升權(quán)限。這種問題發(fā)生的概率要遠(yuǎn)遠(yuǎn)小于PC端瀏覽器遭受同類型攻擊的概率。主要原因是：大多數(shù)攻擊程序是需要一定“行數(shù)”的代碼組成的，而二維碼的承載數(shù)據(jù)能力又是受限制于圖片編碼的容量極限的。簡單理解就是：復(fù)雜攻擊需要更多行數(shù)的代碼，較少行數(shù)的代碼只能實(shí)現(xiàn)較簡單的“攻擊”，二維碼由于自身設(shè)計(jì)的“缺陷”，無法提供惡意代碼存儲所必要的足夠空間，故攻擊想象空間和影響效果有限。

⑵update: CVE -CVE-2013-4710 是目前被利用最廣泛、效果最好（基于這個漏洞利用的惡意代碼可以執(zhí)行任意Java方法）的針對安卓手機(jī)平臺的網(wǎng)頁“掛馬”漏洞，那么有什么危害呢？簡單來說，如果掃碼軟件有root權(quán)限，那么惡意代碼也可以獲得root權(quán)限。如果掃碼軟件可以訪問你的通訊錄，惡意代碼也可以?？傊?，借助這個漏洞掃碼軟件掃一下就被安裝上惡意軟件、扣費(fèi)程序并不是癡人說夢了。

第三種是自定義的二維碼應(yīng)用。雖然二維碼本身承載的其實(shí)就只是普通文本數(shù)據(jù)（數(shù)字、字符等），但有些軟件給這些數(shù)據(jù)定義了一些自己的解析規(guī)則，目的是實(shí)現(xiàn)掃碼后自動XXX或自動YYY。壞就壞在這個自動化的過程，給了數(shù)據(jù)一秒變病毒的機(jī)會。如何理解？參考Web安全里的SQL注入、XSS等，就是最典型的數(shù)據(jù)一秒變病毒的參考案例。

上面3類“病毒”，第一種為需要用戶交互才能得逞的病毒，后兩種無需用戶交互即可實(shí)現(xiàn)“感染”。當(dāng)然，目前前者的攻擊方式較為常見，后兩者攻擊易得手但造成的影響多是有限。

看完了這些，還敢隨便掃一掃嗎？

cc

收藏 海報分享