随着二维码在当今社会的无孔不入,利用二维码从事诈骗的网络犯罪活动在全世界似乎已相当普遍且花样百出。据报道,新加坡的一名妇女在一家奶茶店使用二维码填写“调查问卷”后被窃取了2万美元,而在美国和英国,已经出现带有二维码的虚假违停罚单。
据新加坡海峡时报报道,一名不愿透露姓名的妇女在一家奶茶店内看到一则印有而二维码的贴纸,上面鼓励顾客扫描二维码填写一份关于“免费奶茶”的调查问卷,随即通过扫码并在 Android手机上下载了第三方软件填写调查问卷。当晚,等这名妇女就寝后,这个第三方软件就悄悄转走了其账户中的2万美元。
华侨银行集团金融犯罪合规部反欺诈负责人 Beaver Chua表示,该类骗局特别“阴险”,扫描二维码所下载的恶意软件会索取受害者手机的麦克风和摄像头的访问权限,以及Android 辅助功能,以便控制手机屏幕。诈骗者以此暗中监控受害者的移动银行应用程序使用情况,并记下用户在白天输入的所有登录凭证。随后,诈骗者会在合适的时机,比如趁受害者晚上睡觉时进行转账等恶意操作。
这类恶意软件本质上并不新鲜,但通过二维码广告张贴在餐饮场所,往往让消费者难以鉴别。2022年,新加坡警察部队曾提醒公民不要滥用二维码的Singpass 数字身份系统,诈骗者会要求受害者完成虚假调查,然后要求受害者使用他们的 Singpass 应用程序扫描 Singpass 二维码,声称这是验证过程的一部分,以检索他们的调查结果以支付奖励。然而,诈骗者提供的 Singpass 二维码是从合法网站截取的屏幕截图,通过扫描二维码并在未经进一步检查的情况下授权交易,受害者无意中让诈骗者可以访问某些在线服务。
在美国和英国,已有诈骗者将印有二维码的虚假停车罚单贴在司机挡风玻璃上的案例。据某位Reddit 用户透露,他收到了一张显示由旧金山市政府签发罚单,但他表示,真正的罚单是受 SFMTA (旧金山市交通局)监管,且上面不会印有城市标志。
带有二维码的虚假罚单
如果扫描这张虚假罚单上的二维码,会被指向一个现已禁用的 URL 缩短链接:hxxps://qr.link/g43phs,据称,该链接会将受害者进一步重定向到hxxps://sfmta-project.vercel.app,这是一个复制官方 SFMT网站外观的非法网站,以欺骗受害者在此缴纳罚款。网络安全行业记者Kim Zetter表示,这是他们所注意到的第二期案例,第一起是在德克萨斯州停车收费表上的恶意二维码。
真(右)假(左)旧金山市交通局网站
在英国,地方政府也一直在提醒居民提防二维码诈骗,他们已经发现了谎称用来快捷支付停车费的虚假二维码,一位车主最近在使用贴在机器上的虚假二维码支付停车费后,银行账户中的被取走,随后被信用卡公司告知了欺诈行为。目前当地已采取措施检查停车收费器周围是否存在任何欺诈性二维码,并表示其机器目前不提供二维码支付功能。
文章来源:freebuf
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
多一个点在看多一条小鱼干