二维码已广泛嵌入日常生活场景。从连接酒店房间 Wi-Fi、支付公共停车费，到查看餐厅电子菜单，用户只需用手机摄像头对准黑白方格图案，即可完成一系列操作。

与此同时，安全风险也在累积。多方信息显示，诈骗者、有组织犯罪团伙以及部分国家背景的黑客开始利用二维码这一看似普通的技术手段，引导用户在不知情的情况下泄露个人数据。

二维码便利性被不法分子“借道”利用

二维码是“Quick Response Code”的缩写，可视作传统商品包装上 UPC 条形码的升级版本。UPC（Universal Product Code）条形码是一维图像，由不同宽度的垂直条纹构成，每组条纹代表特定数字。扫描后，系统将这些数字与数据库比对，以识别对应产品。

与此不同，二维码属于二维图像，由不同大小和排列方式的符号组成，不仅可以编码数字，还能包含文本等更多信息。手机在扫描二维码后，会读取其中的编码内容并执行相应操作。例如，许多停车计时器上的二维码内嵌网址，用户扫描后即可自动打开支付页面完成缴费，无需手动输入网址。

正是这种“一扫即达”的高效体验，使二维码迅速普及。但安全机构指出，用户对二维码的高度信任和习惯性使用，也被不法分子加以利用，演变出针对二维码场景的网络钓鱼手法，被业内称为“二维码钓鱼”（quishing）。

“二维码钓鱼”案例增多

近期，利用二维码实施诈骗的做法呈上升趋势。相关报告显示，一些诈骗者和国家级黑客会在二维码中嵌入恶意链接，通过电子邮件发送给用户，并伪装成银行或常用在线服务平台的通知。

在线下场景中，也出现了伪造二维码覆盖真实二维码的情况。不法分子打印带有恶意链接的二维码，将其贴在停车计时器、餐厅桌面、酒店房间等位置的原有二维码上。用户在毫无察觉的情况下扫描这些二维码，实际上被引导至仿冒网站。

这些仿冒页面通常高度模仿真实网站的界面，诱导用户输入登录凭证、信用卡信息或其他敏感数据。安全机构指出，这类攻击方式在本质上与传统网络钓鱼类似，只是将原本通过超链接实现的引流，改为通过二维码完成，因此被视为对既有钓鱼手法在二维码时代的延伸和改造。

提升警惕是防范关键

在“二维码钓鱼”风险上升的背景下，安全专家建议用户在日常使用中保持审慎态度，并采取多重核验措施。

首先，不应对二维码“见码就扫”。二维码出现在酒店床头柜、停车计时器下方，或声称来自银行、在线服务平台的电子邮件中，并不意味着其必然安全。意识到二维码可能被篡改或伪造，是防护的起点。

其次，在公共场所扫描二维码前，应留意其是否存在被覆盖或替换的迹象。餐厅桌面、停车设备等位置的二维码，如出现贴纸边缘粗糙、撕扯痕迹明显，或在白色底板上透出深色方块等情况，均可能意味着原有二维码被不法分子替换。

对于通过电子邮件收到的二维码，尤其是自称来自金融机构或常用在线服务，并附带“立即扫描二维码以保护账户”等紧急措辞的内容，用户应格外谨慎。安全机构指出，制造紧迫感是诈骗者常用手法之一，目的是促使用户在未充分核实的情况下，迅速在仿冒网站输入账号和密码。

此外，用户在通过二维码打开网页后，不宜直接在页面中输入个人信息或支付数据。专家建议，在输入任何敏感信息前，应先在浏览器地址栏核对网址是否与真实网站完全一致。即便页面外观与银行或服务平台官网高度相似，网址细节的差异仍可能暴露其为仿冒站点。

如对网址真伪存疑，较为稳妥的做法是另开浏览器窗口，通过搜索引擎检索相关机构官方网站，再从搜索结果中点击进入，而非依赖二维码或邮件中提供的链接。

安全机构表示，在二维码应用持续扩展的同时，用户安全意识和核验习惯的同步提升，将在很大程度上决定“二维码钓鱼”等新型风险的实际影响范围。