本文目录一览:
二维码存在哪些应用风险,该如何防范
第一个问题,现在二维码里大致有这样一些类型的数据:长文本、短文本、名片、网址、wifi配置信息、地理位置信息。
第二个问题,首先通俗的解释一下“中毒”的概念。
中毒和生病一样,病毒需要一个生存和发展的环境,如果扫码能中毒,那么环境是谁?当然是扫码软件以及扫码软件的运行环境(通常就是手机操作系统)了。现在已知的二维码“病毒”大致有以下3种方式:
钓鱼网址,这个严格来说不是“病毒”,属于社会工程学威胁范畴,用户只需稍有安全意识则能有效避免被骗上当。在手机上,打开一个网址本身在大多数情况下是安全的,但危险在于停留在这个打开的网站上,用户干了些什么。用户自己主动输入信用卡号、安全码,用户自己主动输入支付宝用户帐号。另外,网址并不等于网站入口。比如,有一类特殊的网址,叫做伪协议地址,这个也有想象力空间(但似乎没见到攻击案例),例如sms://、tel://等等,这些点击之后,在不同的系统上有可能会打开不同的应用程序,例如发短信、打电话等等。
HTML/JS混合代码,这是由于很多二维码软件提供了所谓的智能内容感知和识别,调用了浏览器解释引擎去承载和处理这些代码,实质上就是给“病毒”提供了“温床”,所以会“中毒”。但,就目前已知的攻击案例来说,纯第三方二维码类应用软件即使被这些浏览器客户端恶意代码攻击,在绝大多数情况下对用户造成的影响也很有限。极少数情况,可能会发生在:
恶意代码直接攻击浏览器解释引擎,造成内存破坏类攻击,直接获得原生应用程序级别的任意代码执行甚至是提升权限。这种问题发生的概率要远远小于PC端浏览器遭受同类型攻击的概率。主要原因是:大多数攻击程序是需要一定“行数”的代码组成的,而二维码的承载数据能力又是受限制于图片编码的容量极限的。简单理解就是:复杂攻击需要更多行数的代码,较少行数的代码只能实现较简单的“攻击”,二维码由于自身设计的“缺陷”,无法提供恶意代码存储所必要的足够空间,故攻击想象空间和影响效果有限。
自定义的二维码应用。
虽然二维码本身承载的其实就只是普通文本数据(数字、字符啥的),但有些软件给这些数据定义了一些自己的解析规则,目的是实现扫码后自动XXX或自动YYY。坏就坏在这个自动化的过程,给了数据一秒变病毒的机会。如何理解?参考Web安全里的SQL注入、XSS等,就是最典型的数据一秒变病毒的参考案例。
上面3类“病毒”,第一种可以归类为需要用户交互才能得逞的病毒,后两种可以归类为无需用户交互即可实现“感染”的病毒。
前者在目前来说最常见,后两者攻击易得手但造成的影响大多数情况下极为有限。
应对方式和Web时代的安全问题类似,需要几方面参与者的共同努力。
扫码软件厂商,在提供基于二维码的新应用时,要安全的设计和实现二维码识别后内容的解析引擎,对网址的识别可以集成第三方安全厂商提供的URL黑名单查询服务,对已知恶意网址提前向扫码用户告警,并取消点击交互行为的支持。另外,扫码软件可以提供一个牛逼闪闪的安全模式(其实就是纯文本模式啦),让有安全意识和能力的用户可以先看看是什么,再决定下一步如何解析、是否允许软件自动化做XXX或自动化YYY。当然了,做产品,还可以在用户体验层面再智能一些,让用户可以更傻瓜一些点【下一步】。
用户要做到:
一要选择知名的二维码扫描软件,二要避免打开陌生和奇怪的网址。
安全厂商,还和现在一样,该干嘛干嘛,多给扫码软件厂商做做推广,集成你们的恶意网址识别引擎吧。再牛逼一点,云扫码吧,所有二维码里的数据,你们先在云端看看,不良内容给消消毒就是了。
至于二维码未来的安全问题?先让我们看到二维码在未来有什么新应用吧,如果没有新应用,那么以上内容已经涵盖了二维码病毒的成因和对策。新应用?我已经预测了以上的第三种方式了。
其实二维码在很久以前就开始研发运用了,阿里与腾讯也是进行二维码支付运营的大企业,只要大家有一定的安全防范意识,二维码还是相对安全的。
二维码是不是有病毒啊?
您好,
二维码也是会有病毒的,建议您不要随意扫描
最近手机扫描二维码中毒的案例频频发生。
为了保护手机用户扫码安全,腾讯手机管家iOS、Android最新版均新增加了“安全扫码”功能,通过“安全扫码”可以有效防御二维码内置钓鱼网址、木马病毒,保护用户财产安全。
手机管家下载方法 先把手机连接电脑 打开腾讯电脑管家进入应用宝中搜索下载就可以了
希望帮助到您,电脑管家竭诚为您服务,您的支持是我们的动力,望采纳。
腾讯电脑管家企业平台:
检测二维码里面有没有木马该怎么做?
您好,
二维码也是会有病毒的,建议您不要随意扫描
最近手机扫描二维码中毒的案例频频发生。
为了保护手机用户扫码安全,腾讯手机管家iOS、Android最新版均新增加了“安全扫码”功能,通过“安全扫码”可以有效防御二维码内置钓鱼网址、木马病毒,保护用户财产安全。
手机管家下载方法 先把手机连接电脑 打开腾讯电脑管家进入应用宝中搜索下载就可以了
希望帮助到您,电脑管家竭诚为您服务,您的支持是我们的动力,望采纳。
腾讯电脑管家企业平台:
如何防范二维码诈骗
其实二维码在提供给我们生活便捷的同时,也存在着很大的安全风险。目前二维码的内容缺少监管,其内置不安全信息也很难被发现,因而,二维码暗藏多种风险,甚至防不胜防。
风险一:二维码支付
相比较纸币支付,肉眼可识别假钞;二维码支付时,仅凭肉眼无法判断二维码的来源,是否经过篡改,甚至无法判断两个二维码是否相同。
相比较银行卡支付,二维码本身为单向信息传递方式,没有处理能力,无法实现单向、双向的身份验证。
防骗建议:使用者应提高对手机支付安全性、风险性及操作性的认识,如发现问题后,第一时间与提供平台的商家或银行沟通,进行封锁账户或挂失等相关补救措施。
风险二:扫码骗局
案例①二维码藏木马病毒
王伯伯收到朋友发来的二维码,告诉他扫一扫就能领红包。但扫描后,发现银行卡内4000多元当即被转走。原来,朋友的账号被盗,二维码是不法分子发给王伯伯的木马病毒链接。
防骗建议:扫描二维码后发现是非法链接,应当立即关闭链接卸载软件。最好养成良好的移动设备使用习惯,安装防病毒软件。
案例②扫码泄露个人信息
吴阿姨在街头遇到“扫码免费送酸奶”的活动,只要扫一扫,按要求注册一下就能获得一瓶酸奶。吴阿姨当场就按要求扫描注册了。但第二天她的微信就被盗了,微信绑定的钱财也都被盗取了。
防骗建议:一定要认准正规商户和平台的二维码,对来历不明的二维码保有防范意识,不要被所谓的“丰厚礼品”所吸引,更不要轻易向不明网站提供个人身份信息和银行卡信息。
二维码的出现给我们的生活带来了很多便利,你可以通过二维码关注你想关注的正规平台获取更多的资讯,在外面没带钱可以随时手机支付非常方便,但是在扫码二维码的时候也应该提高防骗意识,谨防上当受骗。
希望我的回答可以对你有所帮助,谢谢!
扫二维码会感染病毒吗??
您好,
二维码也是会有病毒的,建议您不要随意扫描
最近手机扫描二维码中毒的案例频频发生。
为了保护手机用户扫码安全,腾讯手机管家iOS、Android最新版均新增加了“安全扫码”功能,通过“安全扫码”可以有效防御二维码内置钓鱼网址、木马病毒,保护用户财产安全。
手机管家下载方法 先把手机连接电脑 打开腾讯电脑管家进入应用宝中搜索下载就可以了
希望帮助到您,电脑管家竭诚为您服务,您的支持是我们的动力,望采纳。
腾讯电脑管家企业平台:
微信诈骗案例
您好!很高兴能为您解答,
2017年10大典型微信诈骗案例,新的一年,希望大家引以为戒,不要再给骗子可乘之机!
一、接龙红包
分析:接龙红包拼的是手气,通常抢到最少或最多的继续发。类似玩法还有比红包尾数大小、石头剪刀布等。一些庄家会利用软件做弊,设定不抢最小包或最大包、尾数修正、单双、等;至于石头剪刀布、丢骰子根本不需要软件,先把网络断开,接连发送几个骰子,无网络状态则发送失利,然后玩的时候连接网络选点数大的那个重发,骗取不知情的玩家。
另外由于每人每天发红包的限额只有5000元,群主会招聘代发红包的人员。当成员达到限额、又需要发红包时,就转账给群主,由群主请人代发。群主和代发者会拿5%到10%作为提成,剩下的钱发到群里。
二、抢红包神器
分析:为了抢到红包,运用抢红包软件作弊的做法慢慢传开,在某宝输入“抢红包”,各种控制尾数、降低小包概率等的“神器”价格从几毛钱到几百元不等。其实抢红包软件中暗藏木马的可能性很大,一旦安装使用,个人信息面临被窃取、微信钱包及银行卡余额被盗走的风险。就徐女士案例,民警调查发现该抢红包软件含木马,她在登录时要输入微信帐号和密码来绑定,导致余额被盗。
三、合体“红包”
分析:微信并没有推出此类需要 “转发”才能获得的红包,真红包拆开后资金会自动进入零钱账户。该类诈骗案件为个别公众号滥用企业付款功能仿造微信红包,通过“合体抢红包”、“转发分享领红包”等方式对“红包”实施诱导分享,目的是获取用户个人信息,也是一种营销手段。
四、AA收款“红包”
分析:“AA收款”不是红包,而是一个微信支付平台还款系统,骗子利用部分人不了解微信AA还款服务制造骗局!很明显的区别是,微信红包在微信群里显示为橘红色,点击后会直接显示是否抢到红包, “AA收款”显示的是一个方块状的红底白字图标,并附带链接,点击后需要输入支付密码。
提醒:收任何红包都不需要输入密码,凡是需要输密码的“红包”都是骗局。另外单个微信红包的限额是200元,超额红包可确定为诈骗。不过特殊节日微信限额可能会被打破,今年5月20日微信破例将单个红包限额提高至520元,但仅限当日00:00--23:59时段。
五、木马“红包”
分析:这就是个谣言,微信官方团队也第一时间进行了辟谣。首先,外部链接无法伪装成微信转账或红包,微信里的转账和红包都是专门的防伪消息,跟外部链接从外观上是完全不同的。其次,木马主要通过含有诱导性内容的短信以及非正规的应用app下载的方式传播,无法利用微信的红包、转账等功能进行传播。所以,用户可以放心使用红包和转账功能。
六、付款码截图
分析:该类骗局在于受害方搞不清微信的付款码和收款码。骗子通常会以当日红包上限或者扫二维码更方便为由索要二维码,并误导受害者将付款码当成收款码。根据微信钱包使用说明“在安全系统保护下:每笔小于1000元订单无需验证支付密码”,也就是说商家使用扫码枪或者摄像头扫付款码即可直接完成交易,不需要密码。
提醒:微信收款二维码无需进入微信钱包,直接点击微信右上角的“+”,进入“收付款”-“我要收款”就是收款二维码。
七、身份克隆
分析:该类案件主要在于受害者没有确认同事身份而造成的。由于微信非实名制,任何人都可以把昵称改成你的名字,头像改成你的照片冒充你,从账号上无从分别真伪。不法分子利用这个漏洞,设置场景层层铺垫,将受害人引入精妙圈套。且微信群组可以直接拉好友进群不需要本人同意,看着一群熟悉的头像与名字,很难辨别真伪。类似的案件有克隆身份向亲友借钱、充话费等。
提醒:网聊涉及钱财须谨慎 ,应当面或电话核实。
八、微信盗号
案件:小琳的微信收到好友消息,称手机刷机后联系人号码没了,要重新新建联系方式。得到小琳手机号码后,对方又发来微信称登录微信需要好友验证,要小琳把收到的验证码发给他。小琳将验证码发过去后却登不上自己的微信,再修改密码登陆零钱已没有了。
分析:微信盗号方法十分简单,知道账号或者绑定的手机号码后,使用手机号码验证可以绕过密码直接登录。不法分子利用这一漏洞在骗取你的手机号码和验证码后,可以轻易盗号。注意很多骗子可能会分两步,第一步先骗取你的号码,第二部隔段时间会伺机说需要发验证码或者网址到你的手机,这样的骗局往往容易掉以轻心。
提醒:1、不要轻易将手机号和验证码告诉别人。2、微信钱包登录移动要设置密码。
九、扫码送礼
案例:今年315晚会模拟了一个典型生活情景剧 “扫二维码免费送一桶油”,不少网友抱着扫完关注领礼品后马上取消关注的心态,对扫码送礼活动来者不拒。可是却不知个人身份信息、银行卡卡号包括密码等都被骗子一览无余,导致资金被盗。
分析:二维码暗藏木马风险,光从表面难以辨别其是否隐藏病毒木马。该类案件利用受害者侥幸和贪图小利的心理,以丰富的奖品为诱饵引导大家扫码,但实际这些二维码带有手机木马病毒的下载网址,一旦不小心安装盗刷就发生了。
十、砍价0元购
案例:吴女士参加某公众号的“砍价”买包活动,只要邀请朋友在链接页面中帮忙‘砍价’就能低价买到女包,最低可砍至0元。在十几个群都发红包叫人帮砍价后,包包总算降到0元,但兑换时却显示库存不足,与商家联系被告知活动限量5个。
分析: 微信“砍价”是商家常用的网络营销方式,或是骗取个人信息与钱财。参与砍价多数要提交个人信息,而你邀请数十数百个朋友砍价后,以为将六千块的苹果6S砍到两千块,最后买到的只是一个山寨机,甚至根本没发货。而微信用户并非实名,案件调查取证难大,损失难以挽回。
小贴士:微信砍价活动也不乏真的,砍价前要先核实信息真伪。
十一、 微信投票
案例:今年4月,白女士参与某微信公众号发起的“萌宝宝大赛”, 不用缴纳任何费用直接微信报名即可。报名后白女士发动亲朋好友一起投票,并花6000元找人刷票,结果排名还是落后。
分析:微信投票活动大多需要参与者提供真实相片、姓名、生日、手机号,存在个人信息被倒卖可能性。帮忙投票的也一样,投票外链还可能隐藏木马。另外切勿轻信网络“刷票”,此类存在比赛主办方与刷票公司合作从中提取分成的可能,而主办方在后台可随时改动数据,花再多的钱刷票也可被别人超越。
小贴士:对来源未知的活动要谨慎参与,仔细辨别主办微信公众平台和赞助商。
十二、爱心传递
案件:“爱心传递:有人捡到一张高考准考证,杨雷雷,考点在五中,请朋友们转发,让杨雷雷联系这个号码:153XXXX6909。快转起来吧!”高考前几天,这则爱心接力在朋友圈疯狂传开。不少考生和家长没有经过核实就转发到朋友圈。有市民拨打了联系电话,短短几秒钟就被收取5元话费。
分析:该类案件十分常见,大部分人只想到爱心,于是随手就转发,却不考虑信息是否真实有效。许多人觉得我只是转发而已,真遇上有需要的人,自然会核实。实际这类“爱心传递”的号码多为吸金电话。
提醒:类似案件有“寻人启事”、“免费领狗”等,除吸金电话,还会借此骗取运费等。
十三、微信捐款
案件:白血病女孩黄绮雯向 “白血病公益救助会” 微信公众号发出求救,该公众号很快在微信发起爱心捐款活动,并称活动与广州市志愿者协会联合组织,请大家放心捐款。调查发现该机构收捐款统计与捐款数额明显不符,而后该公众号主体 “深圳市华泰暗夜科技有限公司”不见踪影,大伙给黄绮雯捐的捐款也已消失。
分析:手机转账的快速与便捷让爱心捐款门槛变得很低,郭美美事件后,大家对于微信公益平台的信任甚至在“红十会”之上,很多公益组织扎堆微信开通微信公众号,当然不乏鱼目混珠者。由于微信平台的监管体系存在极大缺陷,这些诈骗组织游离在监管之外,不被排查。大部分捐款的民众也不会关心捐款最终流向,让微信公益骗局更加猖獗。
提醒:爱心捐款应理性对待,尤其要核查发起公益捐款的组织是否是正规组织。
十四、免费试用
案例:王小姐参与了某化妆品公司发起的“免费送香奈儿口红”活动,关注微信公众号并转发活动到朋友圈截图给商家,就可以免费领取原价98元的口红小样,需到付20元邮费。虽然邮费偏贵,但产品比专柜价格还是便宜不少,王小姐立即参加了该试用活动。两星期后,王小姐付了20元快递费拿到的商品却是假货。
分析:这类骗局最终目的就是为了骗取“到付高额运费”。为增加活动真实性,一些商家采用“新品试用”等广告词,设置倒计时、滚动的领取名单等提高抢单氛围。最后你领取的不过是成本低廉的假冒伪劣商品,而高额运费并不是普通的快递运单,而是一张快递代收货款的运单。
提示:类似活动有免费送暴龙眼镜、檀木手串等,到付邮费由十几到二十几元不等。
十五、集赞有礼
案例:刘女士参加了本市某影楼发起的“集赞有礼”活动,只要转发活动至朋友圈,并关注该公众账号,获32个赞即可获星巴克马克杯一套。致电影楼确认活动的真实性后,刘女士马上参加活动并集了32个赞, 第二天果真领到一套“星巴克马克杯”。
分析:集赞有礼其实是商家发起的营销手段,目的在于诱导用户分享至朋友圈或填写个人信息,但实际兑换的礼品内容与承诺的不符,多为成本低廉的假货;或以礼品送完为由拒绝兑换。该类营销从2014年就流传开来,当年微信平台还宣布公众号一旦发现4次集赞将永久封号。但微信注册门槛低,此类活动滔滔不绝。
提醒:《广告法》规定,商家只要发布了营销活动,就必须按约定兑现承诺,否则可按照虚假广告和宣传来依法处理。参与者如发现在活动过程中商家涉嫌虚假广告、欺诈等违法违规行为,可以向工商部门举报。