二维码能用来骗钱吗?如何防这种骗术?

扫二维码往手机里安恶意软件,盗取个人信息和银行卡号密码

这有可能吗?如何防范?

推荐  (0) | 13人关注关注
11个答案
29 9

Lyroat地球物理专业,果壳实验室成员

2016-03-15 21:23

这种盗窃钱财的方式早在2014年就被315曝光过。一位前黑客水波介绍说,其原理和通过短信发木马链接给受害者的原理差不多。水波特别演示了犯罪分子常用的如何利用国外服务器入侵国内安卓智能手机用户的过程。

方法一:

1. 架设国外服务器,并植入一段病毒程序;

2. 已短信的形式将病毒链接地址发给一个陌生的安卓机,利用安卓系统的短网址功能将发件人伪装成某位亲朋好友;

3. 如果点击链接地址,会自动安装一个桌面小工具,此时病毒植入,个人信息已被盗取。

方法二(目测就是本次315中的方法!):

1. 将病毒地址压缩成二维码,并伪装成淘宝卖家优惠券;

2. “扫一扫”后,手机屏幕根本不会显示病毒下载到手机中,而手机机主的手机号码、银行账号等重要信息已经暴露了;

3. 再用短信验证的方式篡改对方的密码,即可将对方账户的资金转走。整个过程只需要几分钟就完成了!

二维码哪里来?

二维码都是日本研发的QR码,是开源的、通用的,因此基本不具备安全防护能力。二维码本身没有毒,给它加带毒的链接才“有毒”

二维码分为通用的非通用的两种。

1. 市场上通用的二维码占主导,即所有的二维码识别软件都能读出;

2. 非通用的则是推出公司有自己的编码格式,要特定的软件才能识别。有毒二维码与普通二维码本身并没有区别。

为了防止中毒,最好不要随意去扫一些商家的二维码。通常来说,报纸、杂志等出版刊物上的二维码相对安全。但是也有一种二维码技术,可以在后台修改对应的链接信息,原本是健康信息可能突然就成了恶意内容。

所以保证安全的方法还是不要随意上什么奇怪的网站,扫什么奇怪的小app的二维码,小心一点为妙呀!

部分内容参考自:http://e.chengdu.cn/

9 0

从没碰上过这种事的人表示。如果安卓还是我知道的那个安卓你只要做到不乱装东西就好了,不管来源是不是二维码。补充:5.1和以前的版本来路不明的mp3和mp4也不能随便播... 另外接入未知网络存在一定风险。还有貌似根本没办法防范(?)的2.2到5.1可以利用彩信攻击的问题 _(:3」∠)_ 再补充:好吧... 来路不明的url(不管来源是不是二维码,因为这种攻击的历史比二维码早...)本身存在危险,如果网站有漏洞,别人可以利用url窃取你在这个网站上的信息。浏览器也有漏洞的,别人可以利用这两方的漏洞在你的设备上执行恶意代码。

扫码软件只是把二维码翻译成数据,然后如果它们能识别数据的格式,会尝试开启这个数据。最常见的就是如果数据是地址就会尝试在浏览器打开。下一步如果地址指向一个安装包,正常情况下会弹出安装提示,只要你不点确定就不会装。有一种例外是这个扫码软件有静默安装功能,但是静默安装首先你的系统需要root,并且软件还当雷锋去嵌入这个功能(毕竟对它自己并没好处)。

至于直接把病毒本身做成二维码。只能说不是完全不可能。绝对没说的那么轻松。扫码软件必须有特定的bug,然后二维码可以利用这个bug把自身的代码注入到扫码软件里。另外普通的二维码能装多少代码是个问题。如果给你一个比巴掌大密密麻麻的二维码让你扫你怕不怕?

后台修改二维码链接,谁修改?

1 0
支持者: 路程888

二维码本质就是一个链接,如果这个链接被挂上木马病毒之类,那你就危险了,而且未必在“安全”的网址扫的二维码就安全,因为网站也可能被黑进去挂马,至于关闭自动安装这些用处也不大,很多木马都能绕开安卓系统某些障碍,靠谱点还是装个好点的手机安全软件,如果你手机关系的钱的东西不少,还是花钱买个好的安全软件吧,我从来不认为同等技术水平下免费的安全软件干的过收费的。

1 0

路程888死理性派-预备役程序猿

2016-03-18 22:00
支持者: 一千三百公里

二维码和骗钱之间没有什么直接关系

从技术的角度来讲,二维码只是承载了一段二进制信息
然后一般我们身边看见的二维码承载的都是字符串信息,就好像是一段文字一样
再然后,一般情况下我们会扫一扫的二维码里面承载的都是一个网页链接,是一个网址
不管是微信扫一扫、淘宝扫一扫、QQ扫一扫、支付宝扫一扫,扫出来的内容实际上都是一段网址
关键的,将二维码中的网址化腐朽为神奇地方在于以下连续的三个关键步骤

第一、一般的,我们常见的扫描二维码的工具都会检查二维码格式,然后自动把看起来像网址的字符串当作网址来打开
第二、安卓系统负责处理所有应用程序的网页链接跳转,而所有应用程序都可以在安卓系统中注册一个监听器和对应的格式来响应指定格式的网页链接。比如说淘宝微信QQ之类的都会注册他们自己的监听器,然后系统会在遇到指定类型的链接时调用他们,然后这些程序按照自己的逻辑来处理这些链接附带的信息,比如转发某条信息或者是打开某个公众号。而对于没有被注册的链接都会统一交给系统中的浏览器来处理(可以将浏览器看成是监听了所有类型的链接)。
第三、大多数浏览器对于一个外来的链接的默认的处理方法都是直接打开链接,而遇到打开的网站会要求下载些什么的时候就会自动下载,再加上某些国产浏览器会对自动下载下来的 看起来像是安装文件的文件自动进行安装,然后接下来会发生一些什么就是由下载下来的这个程序决定了

综上所述,二维码和骗钱之间没有什么直接关系,骗钱的只是最终被安装的那个程序,二维码只是攻击程序进入手机的多重渠道中的一个,这个渠道只是因为最便于执行“社会工程学”攻击才被广泛使用(便于教科书式攻击)。只比短信发个网址叫你直接点开委婉一点。

------------------------修正的他人答案的分割线---------------------

上面有答案说,某些正常的二维码可以在后台改成有“木马”的二维码,那只是修改了二维码承载的网站最终指向的目的地内容,而二维码只要被打印出来,他承载的那个网址字符串就不会再次改变,改变的是网址指向的内容,所以即使本来二维码指向的是百度首页,也有一万种方法让你访问百度首页之后中“木马”。DNS劫持、ARP劫持、运营商劫持、网页JS注入、等等等等..............

------------------------内容的分割线---------------------

防范方法:
防范方法有很多种。
第一种,最没有技术含量的 任何人在理智的情况下都可以做到的是,不要随便扫描二维码,任何你看到的或者没有看到的二维码都可以被作为攻击发起点,不管是。
第二种。因为不是每个人都能够保证自己在任何时候任何情况下都能够保持绝对的理智(我自己知道我是做不到),那么装一个收费防毒软件,不管是卡巴斯基也好,小红伞也好,大蜘蛛也好,只要是收费的就不会差到哪去,至于你要装什么大数字娱乐,小企鹅娱乐,大白熊娱乐,不要说没有懂技术的人提醒你。
第三种。从二维码诈骗的攻击路径来说,比较有一点技术含量的方法就是,阻断上面三个关键步骤中的任何一个。比如说,使用一个不会自动打开网址的二维码扫描工具或者将自己的二维码扫描器设置为“不自动打开网页”,例如我使用的,很多国外软件默认调用的二维码扫描工具“条码扫描器(google play)”,这个可以在设置里面将其设为不自动打开网页。或者,安装多个浏览器并不设置默认浏览器,那么系统在遇到要调用浏览器的时候就会提示要求选择一个浏览器来打开,这个时候就可以用返回键取消打开这个网址。或者,设置浏览器和系统不自动安装(未知的来源)应用程序。这一种方法中的三个方法就是针对前面说的三个连续的关键传播路径进行阻断,从而阻止从二维码访问未知的网页并安装来路不明的应用程序。

------------------------吐槽的分割线---------------------

不明白ROOT是怎么一回事的家伙就不要随便去获取ROOT权限口牙。

智能手机就是一台掌上电脑!!!
智能手机就是一台掌上电脑!!!
智能手机就是一台掌上电脑!!!
重要的事情说三遍,不要以为十年前的科学幻想没有成真,我们现在的就生活在一个人人都有一台掌上电脑的世界,而且这台掌上电脑中还在你的一天天使用中不知不觉地绑定了你的个人身份,对她的任何一种入侵行为都是在对你的个人隐私的侵犯。所以,不要因为侥幸心理或者是一年几十一百块钱而忽视了手机的安全性,一年一百块的安全软件费用都出不起吗?(请自行脑补“一百块都不给我”)

------------------------注释的分割线---------------------

P:什么是“教科书式攻击”?这是我在大约十五年前的某本黑客攻防“红宝书”上看到的,简单地说就是一个场景:
黑客:“我给你发个好看的视频”
小白:“是那种视频吗,好哇好哇,快发给我”
黑客:“给。”
把病毒发给小白
小白:“我双击了怎么打不开啊”
黑客:“哦,是我弄错了(文件破坏了),我再发一次吧”
把真正的视频文件发给小白
小白:“哦,打开了,谢谢”

0 0

1. 把安卓的自动安装功能去掉,很多时候Root了图省事儿开的

2. 不刷不明二维码

1 1
支持者: 隔壁的王叔

常用软件扫二维码后必须要有后续动作,比如打开链接或下载安装,否则根本不可能中毒。但315晚会对此只字不提,我认为这比恶意软件更恶意。

0 0

二维码骗钱?

看如下两条:

淘宝XX活动送千元抵价券!登陆网址www.12306.com/abc/dafo.html即可领取!

淘宝XX活动送千元抵价券!扫描下图二维码即可领取!

欸我二维码呢……

反正这两条效果是一样的,区别是,大部分有经验的人可以识别出网址是否安全,通过识别域名和网站名称等方式。但几乎没人可以识别出二维码所对应的网址是什么。

所以建议是,使用简单的纯二维码扫描软件,不具有自动启动功能,而仅仅将二维码原始数据提供给用户,之后再手动决定是否要去上这个网页……当然这样还中毒了那么我也没办法。

0 0

先说观点:罪不在安卓,而在用安卓的氛围,甚至是目前智能机用户普遍智商氛围过于低下,对不起,我实在没法说服自己不用这个词,注意,不是智商,而是智商氛围。

什么二维码骗钱,二维码是啥?不就是个链接或者请求嘛!跟弄个网址让你点一样的,现在的安卓用户,已经习惯了被洗脑,手机照相软件多一个滤镜少一层菜单都尼玛被说成“创新”,创你妈啊,现在移动支付这么不安全,就是被这种用户惯出来的

吐槽完毕,继续回答问题,上面有人回答提到所谓的安卓系统本身权限的控制,能够避免静默下载,原则上说着对google公司而言并不难,但实际情况却是两码事,即便不提网上讨论的那些绕过root静默下载的代码,app完全不需要静默下载,伪装成傻白甜app即可。其实在用PC的时候,我们也会下载木马,这时的安全保障大致包括两方面:

1、在win上我们会安装木马防护软件,但很遗憾,目前安卓用户貌似都不在乎这点,也没有很靠谱的软件出现,更要命的是主流舆论是宣传那玩意儿没用,一个系统是无法彻底封死后门的,所以人们必须对后门防御重视起来,但很可惜,目前安卓用户似乎并不买账,这是氛围之一。

2、规范网银系统,至少在PC上,很少见到由于网银密码泄露或者安全插件不合格导致的用户损失事件,按银行的说法,U盾+网银安全插件检测几乎完全避免了这一问题的发生,现有的被骗多数是骗子利用逻辑和智商骗术直接欺骗用户,跟网银安全系统本身并无关系;在安卓中呢,很遗憾的是,目前安卓用户大量使用快捷支付完成付款,一个短信验证码基本就可以完成大多数操作。我一直说,这是个很危险很无脑的行为,但却成为了主流。只要安卓的短信息第三方读取权限是开放的,app完全可以后台监控短信并截取验证码,甚至可以通过截屏的方式截取信息。解决方法其实很简单,要求我们像windows中一样方法是用网银,使用U盾,不要快捷支付,但同样很可惜,现在的用户并不认同,他们往往认为很安全啊,发个短信多方便,手机别丢就可以了,这也是氛围之一。

这两个氛围是安卓的错吗?当然也是,但安卓也是根据用户需求制定的策略,根子还在用户上,个人认为对大多数百姓而言,为何觉得安卓比PC好,还不就是因为它简单直接吗,说不好听点就是不需要脑子嘛,所以啊,不需要脑子不被骗往哪儿跑。如果避免被骗?答案是回到windows的年代,回到不要什么事情都指望不动脑子就搞定的年代去。

3 4

用苹果(不越狱),Windows Phone,远离恶意二维码

0 1

如果害怕二维码,其实很简单。因为二维码的生成规则是公开的,只要把二维码识别出来就好了。

注意识别出来的代码不要去轻易执行。

0 1

感觉315有夸大的嫌疑,扫码后不输入任何信息,不安装任何应用,应该不会被盗取信息吧。

查看更多

添加回答

登录 后回答问题,你也可以用以下帐号直接登录

相关问答

关于我们 加入果壳 媒体报道 帮助中心 果壳活动 家长监控 免责声明 联系我们 移动版 移动应用

©果壳网    京ICP证100430号    京网文[2018] 6282-492号    新出发京零字东150005号     京公网安备11010502007133号

违法和不良信息举报邮箱:jubao@guokr.com    举报电话:18612934101    网上有害信息举报专区    儿童色情信息举报专区