都怪二维码，造就了网友们的社死现场...

　　短短半个月，都怪的社与二维码相关的维码社会事件就发生了两起
，且都引起了广泛讨论。造网

　　QQ账号集体被盗
，友们针对此事，死现腾讯QQ官博回应：“主要原因系用户扫描过不法分子伪造的都怪的社游戏登录二维码并授权登录，该登录行为被黑产团伙劫持并记录，维码随后被不法分子利用发送不良图片广告 。造网”

图片来源 ：微博@腾讯QQ

　　虽然这个解释无法说明，友们为何很多许久没有登录的死现远古账号也“中招”了
，但此处按下不表，都怪的源码库社仅就明面上的维码解释来看
，“二维码”背下了此次事件最大的造网锅。

　　而不久前的友们“维权储户被赋‘红码’”事件也让“健康码滥用暴露权力任性”的现象浮上水面。虽然两起事件的死现性质不同，但都折射出一个问题：作为某种介质的二维码，在某些“有心”人的利用下走向了歧途 。

　　我国是名副其实的二维码大国，源码下载无论是出行
、购物、点单、订票
，“扫一扫”几乎已经成为多数人的习惯。在疫情期间，作为非接触式追踪的重要工具
，二维码的应用更是进一步拓展，扫码登记成为常例。

　　但快速便捷的扫码动作背后，高防服务器二维码真的有想象中那么安全吗？

　　“墙外开花墙内香”

      二维码，即QR Code，最早由日本公司Denso Wave的腾弘原发明。有意思的是，二维码实际是由条形码改造而来 ，不过相比条形码，二维码的数据存储能力大大提升。

　　至于二维码的生成原理
，简单来说 ：用特定的服务器租用几何图形按编排规律在二维方向上分布 ，采用黑白相间的图形来记录数据符号信息 。白块表示二进制的“0”；黑块是“1”  。摄像头识别出颜色和排列就能解读出二维码包含的信息
。

　　虽然二维码是个舶来品，但放眼全球，二维码真正“遍地开花”的地方是中国
。为何会出现这种“墙外开花墙内香”的现象 ？主因有二 ：

　　其一，云计算时机。随着智能手机的普及，移动互联网崛起 ，中国移动互联网用户使用量激增，庞大的市场可以说为二维码的普及扫清了C端障碍。

　　其二，巨头和中小商户的推波助澜
。最初二维码是微信的内置功能之一 ，很快二维码成为微信生态里重要的一环 。香港云服务器随后，腾讯和阿里在支付场景下全力跑马圈地 ，加上中小商户在此过程的“鼎力相助” ，让二维码得以迅速在国内推广。毕竟相比其他支付方式，二维码的成本实在太低了 。不需要POS机，不需要NFC模块，扫码支付只需要一个摄像头，可以说“一机在手，支付无忧”。

　　从实现效果来说，二维码与短网址服务类似，可即时访问网站、联络数据等信息。但是随着大众对二维码的依赖性越来越强 ，其特质也在被一些危险分子利用进行犯罪活动 。其中最具迷惑性的一点就是二维码与二维码之间过于相似了
。

　　对于来路不明的链接 ，你可能会心生警惕，但是二维码就显得“人畜无害”。因为二维码乍看之下都是一样的，看不到域名，也提供不了背后网页和应用的任何可视性。加上“扫码”这一动作毫不费力 ，自然为潜在的网络攻击提供了可乘之机
。

隐秘的威胁

　　二维码的发布没有任何限制，二维码生成器也随处可见，因此不法分子实施欺诈行为的途径也更为简易。利用二维码将目标用户定向到网络钓鱼登陆页面的事件并不罕有 ，“扫码一时爽，扫完‘火葬场’”的受害者也屡见不鲜
 。

　　一般来说，不法分子通过二维码实现恶意企图的方式有如下几种：

      1
、 “以假乱真” 。这一招没什么技术含量，但不小心就会被坑到。攻击者在正规收款二维码旁边贴上伪造的二维码
。用户稍不留心 ，就会扫到假的二维码，直接跳转至付款界面。因此，对于几个并列的二维码，尤其是打印出来的二维码要保持一定的警戒心。

      2 、 “换头”钓鱼 。基于二维码的极度相似性进行“换头”，攻击者通过伪造的二维码将用户引导至高仿官方网站的钓鱼网站，不法分子就可以乘机在钓鱼网站上要求用户提供认证信息
，然后操控其帐户。这种欺骗用户的手段本质是一种钓鱼攻击。

      3、 “免费WiFi”陷阱。攻击者以提供免费WiFi为诱饵
，向扫描其二维码的人士提供某个WiFi

网络
。连接到设备以后
 ，攻击者可以拦截用户正在共享的数据，并窃取可作识别身份用途的个人资料和账户信息 。

　　4
、暗度陈仓的“木马” 。以降价或奖励为诱饵
，要求受害人扫描二维码加入会员
，实则附带木马病毒。或者以安装或更新软件为由，引导用户进入不正规的应用商店，令他们在毫无防备的情况下下载包含病毒、木马或其他类型的恶意软件，从而导致数据和隐私外泄 。

扫码前请小心

　　围绕QQ账号被盗话题及二维码的安全风险，“51CTO技术社群”内的开发者们也发表了各自的观点 。

　　首先 
，技术无罪，二维码本身不是祸源 。正如开发者【Hmxingkong】提到的 ：“扫码本身无问题，关键是这个码被人替换成了钓鱼系统的入口 ，谁扫谁授权谁中招
，系统呈现比较难识别。”

　　再者，鉴于肉眼无法识别真伪，千万不要见码就扫，一定要三思后行、慎之又慎。

　　对于个人用户来说
，开发者【COW】的建议是“永远在已信任的设备上使用网络账号”。尽量避免在不熟悉的电脑和网站上扫描二维码
，仅扫描来自可信对象的代码，并务必仔细确认登录前的提示信息 。

　　对于企业和平台来说，自觉防范的意识和措施需要进一步加强。比如
：

定期为其网站和应用进行信用检测
，以确保代码和链接地址未被篡改；提升员工的网络安全意识，包括但不限于设置独一无二的密码 、设置多因子身份认证等，还有 对于远程办公的员工，要进行适度的网络安全培训；对于部分应用禁止自动跳转，允许用户在访问网站前进行预览，再决定网站是否值得信任；做好用户数据的取舍。对此 ，开发者【大苹果】提到了两点：“一是根据企业的经营性质 ，用户的数据在保存三五年之后
，强制删除，不留底 。二是如果没有好的办法防止数据泄密 ，那就一定期限内格式化数据
。”

结语

　　工具无错，但工具也最容易“背锅”。刀如是 ，二维码亦如是。

　　很多人并没有意识到，个人数据往往在不经意间被泄露 。比如 ，快递单上的信息、公共场所的WiFi、促销让利的二维码等。在可见的未来，二维码可能会被更频繁地使用，届时“有心人”的手段可能更加多样  。在更大的风险到来之前，提升自我的警觉意识是个中关键 。因为“魔鬼总是藏在细节中”。

　　参考链接 ：

　　https://threatpost.com/qr-codes-sneaky-security-threat/159757/

　　https://baijiahao.baidu.com/s?id=1736781617963575083&wfr=spider&for=pc