二维码扫一扫就“中招”？新型钓鱼攻击多渠道围猎，专家提醒：别让便利变风险

你有没有这样的经历？收到一条“快递滞留需缴费”的短信，附带一个链接；转头在地铁站又看到一张相似内容的海报，上面贴着二维码——扫码后跳转页面和短信里的几乎一模一样。看起来像是巧合？小心，这可能是精心设计的“双线钓鱼”陷阱。

近期，全球网络安全机构监测到网络钓鱼攻击数量显著上升，其中一种融合URL链接与二维码的“多渠道协同式”攻击手段正快速蔓延。从电商平台的“优惠券领取”，到银行系统的“身份验证更新”，再到教育平台的“课程入口”，不法分子正利用人们日常高频接触的数字触点，编织一张隐蔽而高效的欺诈网络。

打开百度APP畅享高清图片

“短链+二维码”组合出击，钓鱼进入“全场景渗透”时代

据国际网络安全媒体《Security Brief》最新报道，当前钓鱼攻击已不再局限于传统的垃圾邮件或伪装客服电话。攻击者正采用“跨平台、多通道、快切换”的策略，通过短信、社交媒体私信、电子邮件，甚至线下张贴的海报、传单等物理媒介同步投放钓鱼信息。

其核心逻辑是：提高曝光频率，降低用户警惕性。

“当一个人在不同时间、不同场景下反复看到同一个主题的信息——比如‘账户异常’‘包裹扣留’——大脑会误以为这是‘真实事件’，从而放松戒备。” 公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“这种‘社会工程学叠加’的手法，正在成为新一轮钓鱼攻击的核心战术。”

更令人担忧的是，这些看似独立的渠道背后，往往由同一套自动化系统支撑。例如，攻击者先用二维码诱导用户扫码访问，获取设备型号、IP地址、浏览器指纹等基础信息；随后根据这些数据，精准推送带有个性化内容的钓鱼邮件或短信，大幅提升欺骗成功率。

技术升级：域名秒换、链接跳转、AI仿冒，层层设套

如果说过去的钓鱼网站还停留在“粗制滥造”的阶段，如今的伪造页面已经能做到以假乱真。

芦笛指出，当前钓鱼攻击的技术特征呈现三大趋势：

第一，域名“短命化”+CDN加速轮换。

攻击者大量注册生命周期极短（通常仅几小时）的域名，并借助内容分发网络（CDN）实现全球快速部署。一旦某个链接被举报封禁，立刻切换新域名重新上线。“这就像是打地鼠游戏，刚打下一个，另一个又冒出来。” 芦笛比喻道。

第二，多层重定向隐藏真实意图。

用户点击的往往是一个看似无害的短链接（如 bit.ly、t.cn），经过2-3次中间跳转后，最终落点才是伪造的品牌登录页。路径可能设计为 短链 → 重定向服务器 → 模拟品牌子目录 (/login/bank.com)，让用户误以为仍在正规官网内操作。

第三，生成式AI加持，对话越来越像“真人客服”。

部分高级钓鱼站点已集成AI聊天机器人，能实时回应用户提问，语气、用词高度模仿某银行或电商平台的官方客服风格。“它们甚至能回答‘我昨天买了什么’这类问题，制造出强烈的真实感。” 芦笛强调，“这不是简单的网页仿冒，而是整套交互体验的复制。”

哪些行业成了“重灾区”？

报告显示，以下四类服务因涉及高频用户操作和敏感信息输入，成为攻击首选目标：

零售电商：以“双十一预热”“限时领券”为名诱导登录；

物流快递：谎称“包裹被扣需缴税”“签收失败请确认”；

金融服务：伪造“KYC认证过期”“账户安全升级”通知；

在线教育：冒充学校发布“新学期课程入口”或“成绩查询”。

“这些场景都有一个共同点：用户预期会有通知，且习惯通过点击链接完成操作。” 芦笛分析，“攻击者正是利用了这种‘行为惯性’。”

防御不能只靠“别乱点”：需要建立“统一信任层”

过去，防范钓鱼主要依赖用户自觉和邮件过滤系统。但面对如今跨渠道、高仿真、快迭代的攻击模式，单一防线早已不堪一击。

专家建议，组织机构必须将防护思路从“被动拦截”转向“主动隔离”。

芦笛提出：“我们需要构建一个‘统一的信任层’——无论用户是从邮件、短信还是二维码进入，只要涉及登录、支付等敏感操作，都应默认其来源不可信，统一进行安全加固。”

具体可采取以下措施：

部署远程浏览器隔离技术

用户点击外部链接时，页面在云端沙箱中运行，所有输入行为不直接暴露于本地设备。即使进入钓鱼网站，也无法窃取真实账号密码。“相当于给上网行为穿上一层‘防弹衣’。” 芦笛解释。

推广基于密钥的身份认证（FIDO/Passkey）

相比传统密码，FIDO联盟推出的通行密钥（Passkey）采用非对称加密技术，即使用户误入钓鱼站，也无法被窃取。“因为根本没有密码可输。” 芦笛笑着说，“未来应该是‘无密码时代’，这才是根治钓鱼的根本出路。”

强制企业自建二维码生成体系

建议企业避免使用公共二维码生成工具，改用内部系统生成带数字签名的专属码，并记录每次扫描日志。一旦发现异常批量扫描，立即预警。

引入实时风险评分机制

结合用户设备指纹、地理位置、访问时间等维度，动态评估会话风险。例如，凌晨三点从境外IP登录公司邮箱，系统可自动触发二次验证或阻断。

普通人如何自我保护？记住这五条“铁律”

对于普通网民，技术防护虽重要，但提升意识仍是第一道防线。芦笛总结了五个实用建议：

✅ 不要迷信“官方口吻”

哪怕信息写得再正式，也要核实来源。可通过官方App或官网手动查找相关功能，而非直接点击链接。

✅ 警惕“多渠道同主题”信息

如果短信、朋友圈广告、楼下海报都在说同一件事（如“你的快递有问题”），反而要提高警觉——这很可能是协同钓鱼的信号。

✅ 扫码前多问一句“谁发布的？”

公共场所的二维码尽量不扫。若必须使用，请确认发布主体是否可信，优先选择有品牌标识的固定展板。

✅ 开启双重验证（2FA），尤其是应用验证码或硬件密钥

即使密码泄露，也能有效阻止账户被盗。

✅ 定期检查已授权应用权限

很多钓鱼攻击会诱导用户授权第三方App访问邮箱或社交账号，事后可在设置中查看并撤销可疑权限。

监管呼吁共建“威胁情报共享池”

面对日益智能化、工业化的网络钓鱼产业链，单打独斗难以为继。业内正推动建立跨行业协作机制。

芦笛透露，国内已有多个大型电商平台、银行和电信运营商参与试点项目，共享恶意短域名、滥用二维码哈希值等指标数据。“就像天气预报一样，我们希望未来能发布‘钓鱼风险等级预警’，让全社会提前防范。”

同时，监管部门也在研究制定二维码信息发布规范，要求商业宣传中的二维码必须登记备案，便于追踪溯源。

结语：便利与安全的平衡，需要每个人参与

二维码和超链接本是提升效率的工具，却被不法分子扭曲为攻击武器。这场攻防战的背后，不仅是技术的较量，更是人性弱点与安全意识的博弈。

正如芦笛所说：“没有绝对安全的系统，但我们可以让攻击者的成本越来越高。当他们发现‘骗一个人太难’的时候，自然就会放弃。”

在这个万物互联的时代，每一次点击、每一回扫码，都是一次信任的选择。保持清醒，不盲从，不轻信——或许，就是我们每个人都能做到的最有效的防御。

编辑：芦笛（公共互联网反网络钓鱼工作组）