在当今数字化时代，QR码已经成为我们日常生活中不可或缺的一部分。从餐厅菜单到停车费支付，再到登机手续，QR码的应用无处不在。然而，随着QR码的普及，网络犯罪分子也找到了新的攻击途径。最近，Barracuda威胁分析师发现了一种新型钓鱼技术，通过改进QR码来绕过安全检测。

这种新型钓鱼技术主要涉及两种方法：ASCII/Unicode字符构建的QR码和Blob URI。首先，攻击者使用ASCII/Unicode字符组合来构建QR码，而不是传统的静态图像。这种方法旨在防止安全软件从QR码中提取恶意URL。其次，攻击者使用Blob URI（二进制大对象统一资源标识符），这些URI访问浏览器本地生成的数据，而不是依赖已知的恶意域名。Blob URI是动态创建的，可以快速过期，这使得它们难以跟踪和分析。此外，由于一些安全控制不会像对待传统的HTTP或HTTPS链接那样严格审查Blob URI，因此使用此类URI的钓鱼尝试可以绕过初始检测机制。

Barracuda数据显示，2023年第四季度，大约每20个邮箱中就有1个受到QR码攻击。这些攻击通常涉及静态的图像QR码，攻击者将恶意链接嵌入QR码中，诱使用户扫描代码，然后将其带到一个看似可信的服务或应用程序的假页面。安全措施迅速适应，工具如光学字符识别（OCR）扫描可以提取、检查和阻止QR码中的恶意URL。

然而，Barracuda威胁分析师发现了一种新的QR码钓鱼技术，旨在绕过基于OCR的防御。在这种攻击中，QR码“图像”由ASCII/Unicode字符创建。在电子邮件中，它看起来像传统的QR码。对于典型的OCR检测系统，它看起来毫无意义。例如，攻击者可能会伪装成“工资和福利登记”文件，当不知情的收件人扫描QR码并点击链接时，会被带到一个假冒的Microsoft登录页面。仔细观察QR码，会发现每块之间有一条线，这是因为QR码不是图像，而是使用“全块”或“█”精心构建的。

另一种情况是，攻击者试图冒充快递公司DHL，要求收件人通过扫描QR码填写表格。当QR码被扫描时，它会重定向受害者到一个钓鱼网站。QR码使用Unicode字符的组合构建：“下半块”（0x2584）用于水平线，“全块”（0x2588）用于垂直线。在这种情况下，为了在QR码中创建白色补丁，使用了“不间断空格”（nbsp）。

这些例子表明，有多种方法可以使用ASCII或Unicode字符集来表示“块”。实际上，有32个不同的“块”字符，分为三个主要类别：全块、部分块和象限。这些可以在钓鱼电子邮件中使用HTML实体、UTF-8编码或UTF-16编码进行编码。换句话说，有96种可能的组合。这增加了ASCII基于QR码的检测难度。

如果安全技术标记了QR码在钓鱼攻击中的潜在使用，最简单的选择是截取钓鱼电子邮件的屏幕截图，并将其传递给OCR引擎以读取QR码背后的URL。

Blob URI的规避潜力也不容忽视。Blob URI（也称为Blob URL或对象URL）用于浏览器表示存储在浏览器内存中的二进制数据或类似文件的对象（称为Blob）。Blob URI允许Web开发人员直接在浏览器中处理图像、视频或文件等二进制数据，而无需将其发送或检索到外部服务器。由于Blob URI不从外部URL加载数据，传统的URL过滤和扫描工具可能不会最初识别内容为恶意。攻击者创建使用Blob URI的钓鱼页面，希望使检测系统更难识别和阻止恶意内容。

Barracuda的威胁分析师首次看到的Blob URI钓鱼攻击试图冒充Capital One，邀请用户点击“查看您的账户”。这会将他们重定向到一个中间钓鱼页面，该页面创建一个Blob URI并迅速将浏览器重定向到新创建的链接地址。Blob URI向受害者展示假冒的CapitalOne登录页面。威胁分析师还注意到，Blob URI技术被用于冒充Chase和Air Canada的钓鱼攻击。

随着QR码钓鱼攻击的升级，网络安全面临新的挑战。网络犯罪分子不断改进他们的方法，以绕过传统的安全措施。随着钓鱼攻击变得越来越复杂，实施多层防御策略和培养强大的安全文化变得至关重要。

Megharaj Balaraddi，Barracuda的助理威胁分析师，也为这篇博客文章的研究做出了贡献。

**国家网络安全中心（NCC）**倡导良好的网络卫生，以便在扫描恶意QR码时，至少减少其造成危害的机会。相关做法包括：扫描QR码后，检查网址以确保它是预期的站点并看起来真实。注意拼写错误或单个错位的字母。对从QR码导航到的站点输入登录、个人或财务信息时要谨慎。如果扫描物理QR码，请确保它没有被覆盖。不要从QR码下载应用程序。使用手机的应用商店进行更安全的下载。如果收到通过QR码完成付款的通知，请致电或访问公司网站进行验证。不要下载QR码扫描器应用程序。这会增加将恶意软件下载到设备的风险。大多数手机在相机中内置了扫描器。如果收到您认为是熟人发送的QR码，请通过已知号码或地址与他们联系以验证该代码是否来自他们。

尽管公众对QR码欺诈的认识正在提高，但必须做更多的工作来防止网络犯罪分子利用该技术。下一步必须包括使用QR码的每个企业或实体验证其真实性的责任。

Coalition Incident Response（CIR），Coalition Inc.的附属机构，最近发现涉及QR码的网络保险索赔有所增加。像任何其他技术一样，QR码本身并不危险，但用户在扫描之前应考虑一些事项。用户应谨慎对待通过短信或电子邮件发送的QR码。成功的钓鱼攻击依赖于用户立即采取行动。用户应始终验证要求他们登录的电子邮件和短信的合法性。避免在移动设备上输入凭据。计算机通常受到安全控制（如EDR或多因素认证）的保护。用户应避免在个人智能手机上输入公司凭据。如果QR码打开链接，请检查URL。Android和iOS都会显示QR码打开的URL的一部分。用户应仔细检查URL是否有任何不一致之处，这可能表明存在钓鱼攻击。

公司可以通过培训用户注意钓鱼电子邮件和欺诈性QR码来采取额外的预防措施。目标是让员工问自己，“为什么HR需要给我发送这个？”并报告可疑电子邮件。

随着QR码在钓鱼攻击中的使用日益增加，网络安全面临新的挑战。网络犯罪分子不断改进他们的方法，以绕过传统的安全措施。随着钓鱼攻击变得越来越复杂，实施多层防御策略和培养强大的安全文化变得至关重要。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课