坑爹新骗术:二维码刷单

  接连收到数条陌生号码的“讨债”来电和短信,一开始还不在意的王女士在看到相似内容的信息后才意识到有人冒用公司信息骗钱。

  其中有条来自贵州的信息,“大骗子,你们骗一个穷学生的钱就不会觉得良心不安吗,做什么不好偏做这种勾当,你们骗的都是别人的血汗钱,都是别人的生活费,你们骗去后用着心安吗,大骗子....”

  这条短信来自贵州某大学大二学生,9月23日她收到一条短信,“您的淘宝网买家信誉良好,现诚聘您利用空闲时间来为各大店铺。工作无需押金,工作随时结算……”内容的短信。

  小姑娘心一动,加了短信中留的QQ号。这个QQ号的头像为一名女性,自称叫王萱,她按照对方发来的购物链接以及需要的件数,通过对方发来的微信二维码,支付了1414元,之后又刷了一笔。

  此时,姑娘发现自己账户里的钱不翼而飞,王萱称必须刷够3笔才能得到报酬,在姑娘拒绝并要求其退钱时把她拉进黑名单。

  之后通过微信支付的明细,姑娘查到收款方为西安某商贸有限公司,并通过网络查询到该公司的联系方式,电话拨通后,老板也就是王女士称她公司从不使用二维码,这才赶忙报了警。

  实际上,只要在网络搜索该商贸有限公司,除了地址、注册资本等信息外,还有王女士的私人联系方式。而通过网页上的二维码生成器,输入公司的名称,就能生成公司的二维码。

  俗话说人红是非多,自从二维码火起来后不少人忍不住拿它做起了文章,无论是前段时间火遍朋友圈的腾讯公益活动链接,被替换二维码,还是最近的刷单二维码等手段,不少恶意二维码的存在只要扫一扫就会“中毒”。

  众所周知,二维码是一张能存储信息的拥有特定格式的图形,能够在横向和纵向两个方位同时表达信息,个人名片、网址、付款和收款信息等都可以通过二维码图案展现出来。

  而目前,我国广泛使用的二维码为源于日本的快速响应码(QR码),QR码没有在国内申请专利,采取了免费开放的市场策略,即谁都可以通过网络下载二维码生成,生成所需的二维码。

  雷锋网编辑在网络搜索“二维码生成器”,竟然出现458万余个搜索结果,打开页面最靠前的一个二维码生成器,发现仅需在页面左侧输入名称,即时就生成该名称的二维码。

  正是因为二维码的制作生成没有任何门槛,不法分子将病毒、木马程序、扣费软件等编入二维码,用户一旦扫描,手机就会被植入的病毒木马感染,身份证、号、支付密码等私人信息就会被盗取。

  第一种即钓鱼网址。在手机上,打开一个网址本身在大多数情况下是安全的,但危险在于停留在这个打开的网站上,用户的行为,比如主动输入信用卡号、支付宝帐号密码、验证码。另外,网址并不等于网站入口。比如,有一类特殊的网址,叫做伪协议地址,例如sms://、tel://等等,这些点击之后,在不同的系统上有可能会打开不同的应用程序,例如发短信、打电话等等。

  第二种是HTML/JS混合代码,这是由于很多二维码软件提供了所谓的智能内容感知和识别,调用了浏览器解释引擎去承载和处理这些代码,实质上就是给“病毒”提供了“温床”,所以会“中毒”。但就已知的攻击案例来说,纯第三方二维码类应用软件即使被浏览器客户端恶意代码攻击,对用户造成的影响也很有限。而对用户造成较大影响的有两种情况:

  ⑴恶意代码直接攻击浏览器解释引擎,造成内存破坏类攻击,获得原生应用程序级别的任意代码执行甚至是提升权限。这种问题发生的概率要远远小于PC端浏览器遭受同类型攻击的概率。主要原因是:大多数攻击程序是需要一定“行数”的代码组成的,而二维码的承载数据能力又是受限制于图片编码的容量极限的。简单理解就是:复杂攻击需要更多行数的代码,较少行数的代码只能实现较简单的“攻击”,二维码由于自身设计的“缺陷”,无法提供恶意代码存储所必要的足够空间,故攻击想象空间和影响效果有限。

  ⑵update: CVE -CVE-2013-4710 是目前被利用最广泛、效果最好(基于这个漏洞利用的恶意代码可以执行任意Java方法)的针对安卓手机平台的网页“挂马”漏洞,那么有什么危害呢?简单来说,如果扫码软件有root权限,那么恶意代码也可以获得root权限。如果扫码软件可以访问你的通讯录,恶意代码也可以。总之,借助这个漏洞扫码软件扫一下就被安装上恶意软件、扣费程序并不是痴人说梦了。

  第三种是自定义的二维码应用。虽然二维码本身承载的其实就只是普通文本数据(数字、字符等),但有些软件给这些数据定义了一些自己的解析规则,目的是实现扫码后自动XXX或自动YYY。坏就坏在这个自动化的过程,给了数据一秒变病毒的机会。如何理解?参考Web安全里的SQL注入、XSS等,就是最典型的数据一秒变病毒的参考案例。

  上面3类“病毒”,第一种为需要用户交互才能得逞的病毒,后两种无需用户交互即可实现“感染”。当然,目前前者的攻击方式较为常见,后两者攻击易得手但造成的影响多是有限。