内容摘要：二维码无处不在，你可以在海报和传单、ATM屏幕、价签和商品甚至建筑物上看到它们，人们用它们来分享信息，推广各种在线资源，然而，你却很少在电子邮件中看到二维码。用户无需扫描即可在手机上直接阅读信息，因为

二维码无处不在 ，钓鱼电邮你可以在海报和传单 、使击ATM屏幕、起攻价签和商品甚至建筑物上看到它们，钓鱼电邮人们用它们来分享信息，使击推广各种在线资源，起攻然而
 ，钓鱼电邮你却很少在电子邮件中看到二维码。使击用户无需扫描即可在手机上直接阅读信息，起攻因为大多数信件都带有普通的钓鱼电邮超链接，但攻击者正越来越多地通过电子邮件发送的使击二维码来实施攻击 。

与易于检查和屏蔽的起攻钓鱼链接不同，二维码是钓鱼电邮安全解决方案中令人头疼的免费模板问题。分析二维码并找出其中包含的使击信息，需要昂贵且资源丰富的起攻计算机视觉技术 。更糟糕的是，虽然一个普通的链接只需看一眼就可以整理出来
，但使用二维码，在扫描之前，你无法判断它会把你重定向到哪里
。

二维码也称快速响应码，是一种二维矩阵条形码 
，服务器租用由几个正方形和多个点（模块）组成，排列在白色背景上的正方形图案中 ，可以使用图像处理设备来扫描QR码 。它将首先通过正方形识别代码的位置  ，然后读取点中编码的信息 ，除了实际的代码外，方形区域还可以容纳装饰元素，例如公司徽标 。

二维码比1D条形码能够编码更多的数据，它们通常用于编码指向各种资源的超链接，源码库例如商店目录
 、结账页面或建筑信息页面。

电子邮件中的恶意二维码

攻击者使用二维码对网络钓鱼和诈骗页面的链接进行编码 ，研究人员在2021年底注册了第一次使用该技巧进行恶意电子邮件活动的尝试。这些都是模仿联邦快递（FedEx）和DHL等快递服务公司电子邮件的诈骗信息，受害者会被诱骗通过扫描二维码支付关税，编码的链接正在重定向到一个伪造的银行卡数据输入页面。这场活动的规模不大 ，香港云服务器并到2022年年中有所减少
。研究人员在2023年春季观察到的以二维码为特色的新电子邮件活动，与第一次不同的是，这次是针对微软产品企业用户的登录名和密码。

攻击者向受害者发送信息，告知他们的公司电子邮件帐户密码即将过期 ，为了保留对账户的访问权限
，用户需要扫描二维码 。亿华云一些电子邮件将来自免费邮件地址，另一些则来自最近注册的域名 ，在一些信息中 ，攻击者在二维码中添加了微软安全标志
，以提高可信度。

带有二维码的钓鱼邮件

在收到钓鱼邮件并扫描代码后 ，用户将被重定向到一个类似微软登录页面的虚假登录页面，只要输入登录名和密码，攻击者就可以访问该帐户。

除了敦促用户更改密码或更新个人数据的消息外，我们还检测到一个未发送的电子邮件通知活动，高防服务器该活动还使用二维码重定向到虚假的微软帐户登录页面
。

以下截图所示的信件没有二维码标志，但带有“此邮件来自可信来源”的字样，让用户放松警惕 。

未发送的邮件通知

扫描二维码时看到的一些页面位于IPFS资源中，攻击者会用这种分布式文件系统发起攻击 。IPFS是一种点对点的网络协议
，旨在创建持久且分布式存储和共享文件的网络传输协议，IPFS网络钓鱼活动与传统网络钓鱼活动类似 ，攻击者模仿合法服务和软件（如DHL、DocuSign和Adobe）来增加进入目标收件箱的可能性 。

统计数据

从2023年6月到8月，研究人员检测到8878封包含二维码的网络钓鱼邮件 ，恶意活动在6月份达到顶峰，有5063封信，到8月份减少到762封信。

2023年6月至8月带有二维码的钓鱼电子邮件数量趋势

总结

攻击者可以通过多种方式使用二维码 。首先，这些代码使他们能够避免安全措施检测和屏蔽他们的电子邮件，查看二维码内容并不容易
 ，而且消息中没有钓鱼链接；此外
，一封信不能仅仅因为里面有二维码就被屏蔽，尽管二维码不是一个流行的电子邮件元素 ，但二维码也可以用于合法的通信 ，例如发件人的自动签名；其次 ，由于消息中不包含链接，因此无需注册额外的帐户或域来重定向用户，从而隐藏网络钓鱼；最后，大多数用户使用智能手机摄像头扫描二维码 ，并希望尽快解决问题。因此 ，他们可能会忽略重定向到的页面的地址行，因为它在移动浏览器中不太显眼 。

另一方面，合法发件人几乎从不在邮件中使用二维码 ，因此仅仅在电子邮件中出现二维码就可能引发怀疑；此外，扫描二维码需要另一个设备，而用户可能没有现成的设备。目前研究人员还没有观察到许多基于二维码的攻击活动，他们只能假设实际扫描代码的收件人不多 。尽管如此 ，考虑到该机制的使用情况，预计这种攻击在短期内会增加 ，且活动本身也会变得更加复杂 ，并针对特定目标进行调整。