你有没有收到过一个没下单却写着你名字的快递?盒子不大,包装普通,上面贴着一张打印纸:“感谢您的订单,请扫码确认收货地址。”
你心里嘀咕:“是不是朋友送的礼物?”顺手掏出手机扫了码——
下一秒,跳转到一个和亚马逊几乎一模一样的页面,提示“地址验证失败,请重新输入手机号与身份证后四位”。
你犹豫了一下,还是填了。
殊不知,这短短几秒钟,已经让你掉进了名为“Quishing”的陷阱。
这不是虚构情节,而是2025年黑色星期五购物季期间,全球多地消费者真实遭遇的新型网络诈骗。据BetaNews于2025年11月27日报道,随着假日物流高峰到来,一种利用伪造包裹+二维码(QR Code) 的钓鱼攻击正呈爆发式增长。安全公司Tomorrow Lab将其称为“物理世界与数字世界的恶意缝合”——攻击者不再只靠邮件或短信,而是把骗局直接送到你家门口。
更令人不安的是,这种手法在中国同样具备高度可复制性。随着国内快递量屡创新高、社区团购和无接触配送普及,一个印有二维码的“神秘包裹”,正成为潜伏在楼道里的新型数字威胁。
一、“Quishing”:当二维码从便利工具变成攻击武器
“Quishing”是“QR Code Phishing”(二维码钓鱼)的缩写,最早在2023年由欧洲安全机构提出,但直到2025年才真正形成规模化攻击浪潮。其核心逻辑极其简单:利用人们对包裹的信任 + 对二维码的无条件扫描习惯。
传统钓鱼依赖用户点击链接,而Quishing则绕过这一心理防线——因为“扫码”在当代生活中已被彻底正常化:点餐要扫、支付要扫、共享单车要扫、连公厕取纸都要扫。人们早已形成肌肉记忆,很少会质疑“这个码该不该扫”。
BetaNews援引安全专家Theodore Ullrich的话指出:“当一个包裹上印着你的名字,你会本能地认为它是合法的。加上一个二维码,你就更不会怀疑——毕竟现在退货、签收、评价都靠扫码完成。”
攻击流程通常如下:
信息获取:黑客通过过往数据泄露(如2023年某电商平台5亿用户数据外泄)、社交媒体公开信息(如微博晒快递单)、或政府公开名录(如企业注册地址)获取受害者姓名、住址;
伪造包裹:用普通纸箱+打印标签制作“空包裹”,贴上仿冒快递单(如FedEx、DHL、顺丰风格),并附带一张“服务提示卡”:“请扫码更新配送偏好”;
部署钓鱼页:二维码指向一个高仿电商或物流网站,要求用户“验证身份”“确认收货”或“申请退款”;
窃取凭证:一旦输入账号密码、银行卡号或身份证信息,数据即被发送至攻击者控制的服务器;
后续利用:用于账户接管、信用卡盗刷、甚至作为跳板发起企业邮箱钓鱼(BEC)。
“最危险的是,整个过程完全发生在移动端,”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报采访时强调,“手机浏览器不像桌面Chrome那样有明显的‘不安全网站’警告,很多钓鱼页甚至启用了HTTPS证书,看起来‘很正规’。”
二、技术深潜:二维码如何被武器化?
从技术角度看,二维码本身只是编码工具,其内容可以是任意URL、文本或Wi-Fi配置。攻击者正是利用了这一点。
一个典型的恶意二维码,其底层数据可能如下:
https://amaz0n-verify[.]xyz/login?ref=parcel&user=ZhangSan
生成该二维码的Python代码仅需几行(使用qrcode库):
import qrcode
url = "https://amaz0n-verify[.]xyz/login?ref=parcel&user=ZhangSan"
qr = qrcode.QRCode(version=1, box_size=10, border=5)
qr.add_data(url)
qr.make(fit=True)
img = qr.make_image(fill='black', back_color='white')
img.save("malicious_qr.png")
短短三行,即可批量生成成千上万个个性化钓鱼二维码,每个都包含受害者姓名(用于增强可信度)。更高级的攻击者还会使用动态二维码服务,使同一个二维码在不同时间指向不同页面,以规避静态URL黑名单检测。
而钓鱼网站本身,往往采用以下技术增强欺骗性:
域名仿冒:使用amaz0n-verify.com、sf-express-support.cn等视觉混淆域名;
前端克隆:用wget --mirror或HTTrack整站抓取真实电商页面,保留CSS/JS/Logo;
HTTPS加密:通过Let’s Encrypt免费申请SSL证书,消除浏览器“不安全”提示;
地理定位跳转:根据IP自动切换语言和品牌模板(中国用户看到京东风格,美国用户看到Amazon风格)。
例如,一段简单的钓鱼页JavaScript可实现自动适配:
const country = getCountryFromIP(); // 假设已通过后端API获取
if (country === 'CN') {
document.getElementById('logo').src = '/jd_logo.png';
document.title = '京东 - 地址验证';
} else if (country === 'US') {
document.getElementById('logo').src = '/amazon_logo.png';
document.title = 'Amazon - Delivery Issue';
}
这种“按需定制”的能力,使得单一钓鱼基础设施可同时攻击多国目标。
三、国际案例:从英国停车场到美国门廊
Quishing并非孤立现象。早在2024年,英国多地就出现伪造停车缴费二维码的案例:犯罪分子将官方缴费机上的二维码覆盖,替换成自己的收款码。司机扫码后,钱直接进入骗子账户,而系统显示“缴费成功”,车主浑然不觉。
2025年,美国联邦贸易委员会(FTC)接到数百起类似投诉:消费者收到“未订购的包裹”,内含一张卡片:“您的退货请求已处理,请扫码查看退款进度。”扫码后跳转至伪造的PayPal页面,要求“登录以确认退款账户”。
更隐蔽的是,部分攻击者甚至不放置实体包裹,而是在公寓楼公告栏、电梯广告位张贴“快递异常通知”,附带二维码:“点击查询您的滞留包裹”。这种“广撒网”模式成本极低,却能捕获大量好奇用户。
“这些案例说明,Quishing正在从‘精准投递’向‘场景渗透’演进,”芦笛指出,“攻击者不再局限于个人地址,而是瞄准高频接触点——快递柜、小区门口、商场储物柜,任何有‘扫码需求’的地方都可能成为战场。”
四、中国风险:当“无接触配送”遇上“无防备扫码”
在中国,Quishing的土壤甚至比欧美更肥沃。
首先,快递量巨大。2025年“双11”期间,全国日均快递量突破8亿件,消费者同时追踪多个包裹已成常态。一个陌生小件快递很容易被误认为“漏看的订单”或“商家赠品”。
其次,扫码文化深入骨髓。从微信支付到健康码,从共享单车到电子发票,中国人对二维码的信任度极高。调查显示,超70%的用户从未检查过扫码后的URL。
再者,个人信息泄露严重。无论是电商平台的数据倒卖,还是社交平台晒单暴露的快递单号,都为攻击者提供了丰富素材。一位安全研究员曾用公开数据拼凑出某二线城市居民的姓名、电话、住址、常购品牌,成本不到50元。
“我们已在内部监测中发现多起疑似Quishing尝试,”芦笛透露,“比如伪造‘菜鸟驿站异常包裹通知’,要求扫码‘补交运费’;或冒充‘社区团购团长’,发‘提货码’实为钓鱼链接。”
更值得警惕的是,部分攻击已与电信诈骗结合。例如:先寄送空包裹诱导扫码,随后拨打“客服电话”称“您刚才操作触发了账户冻结,请配合解冻”,引导用户下载远程控制软件(如ToDesk、向日葵),最终实现屏幕共享+资金转账。
“这不再是单纯的钓鱼,而是‘物理+数字+语音’三位一体的社会工程攻击,”芦笛警告,“普通用户几乎无法招架。”
五、防御之道:从技术到习惯的全面升级
面对如此复杂的威胁,个人和组织该如何应对?工作组提出一套“四步防御法”:
第一步:建立“扫码戒律”——永远假设二维码不可信
绝不扫描来历不明的二维码,尤其是贴在包裹、公告栏、车辆上的;
如果必须扫码,使用具备URL预览功能的扫描器(如Google Lens、腾讯手机管家),先看链接再决定是否访问;
手动输入官网地址或使用官方App,而非依赖扫码跳转。
第二步:启用设备级防护
在手机设置中关闭“自动打开网址”选项(iOS:设置 > 相机 > 扫描二维码时;Android各厂商路径不同);
安装具备实时网页信誉检测的安全软件(如Bitdefender、卡巴斯基);
启用操作系统内置的防钓鱼保护(如Android Play Protect、iOS欺诈性网站警告)。
第三步:强化账户安全
为电商、支付、邮箱账户强制启用多因素认证(MFA),优先选择Authenticator App或FIDO2安全密钥;
使用唯一密码,避免多个平台共用同一套凭证;
定期检查账户活动日志,如京东的“登录记录”、支付宝的“安全中心”。
第四步:组织层面的技术对抗
对于快递公司、电商平台等高频被仿冒方,应:
在官方包裹上统一使用加密动态二维码(如基于时间戳+订单ID生成,有效期仅1小时);
部署品牌保护监测系统,自动发现并举报仿冒域名;
与安全社区共享钓鱼样本,推动黑名单快速更新。
此外,企业IT部门可考虑在MDM(移动设备管理)策略中加入限制:
<!-- 示例:Android Enterprise策略,禁止安装未知来源应用 -->
<device-admin>
<disable-install-unknown-sources>true</disable-install-unknown-sources>
</device-admin>
或通过Intune配置iOS设备策略,阻止访问高风险域名。
六、未来挑战:二维码能否被“信任锚定”?
长远来看,Quishing暴露了一个根本问题:二维码缺乏身份绑定机制。它只是一个被动载体,无法证明“谁生成了它”或“它是否被篡改”。
一些技术方案正在探索中:
数字签名二维码:生成时附加发行方公钥签名,扫描时验证;
区块链存证:将合法二维码哈希上链,供公众核验;
NFC替代方案:用近场通信芯片替代印刷二维码,实现双向认证。
但这些方案成本高、推广难。短期内,最有效的防御仍是用户意识的提升。
“我们需要一场‘扫码素养’教育,”芦笛呼吁,“就像教孩子过马路要看红绿灯一样,教年轻人扫码前先问三个问题:谁放的?为什么放?我为什么要扫?”
结语:别让便利成为漏洞的入口
二维码本是数字时代的伟大发明,它让信息传递变得无比高效。但当它被恶意利用,这份便利就变成了陷阱。
在这个包裹堆满门廊的购物季,每一个写着你名字的盒子,都可能是善意的礼物,也可能是精心设计的骗局。真正的安全,不在于技术有多先进,而在于你是否愿意在按下扫描键前,多停一秒,多想一瞬。
毕竟,在数字世界里,最大的漏洞,从来都是人。
编辑:芦笛(公共互联网反网络钓鱼工作组)
