这是我们每周都会多次重复的一个小动作，而且往往发生在赶时间的时候：

你把车停好，抬手一扫停车位上的二维码，几秒钟就完成了支付；或者在咖啡馆里，通过桌上的二维码查看菜单并下单。

在火车站，你可能会扫海报上的二维码获取最新时刻表。如今，在全球各地的公共交通系统中，二维码越来越多地被用于购票、支付和获取实时信息。

正因为二维码如此普及、使用门槛又低，骗子也开始大量利用它们行骗。下面是你需要了解的一些安全要点。

什么是二维码？

二维码（Quick Response Code）是一种二维条码，通过黑白像素组成的方形图案来存储和编码信息。它最早由日本电装波纹公司在 1994 年开发，用于标识汽车零部件。

如今，二维码之所以无处不在，是因为它们制作简单、成本低，而且扫描方便，不需要专用扫码设备——一部带摄像头的智能手机就够了。二维码的设计初衷就是减少操作步骤：你一扫，系统立刻给出响应。

但问题在于，在你扫描之前，二维码并不会直观显示它的“目的地”。设备在识别二维码后，可以执行多种操作：打开网页、记录地理位置、自动连接 Wi-Fi 等，往往不需要你额外输入任何信息。

这让二维码非常高效，也带来了安全隐患。恶意二维码可以把你导向伪造网站，或者诱导你下载有害内容。因为二维码已经成为日常习惯的一部分，我们往往下意识地信任它们，这正是骗子所利用的心理。

需要警惕的风险

网络钓鱼是最常见的网络犯罪形式之一，通常通过电子邮件或短信中的恶意链接实施。当这种手法与二维码结合时，就被称为“二维码钓鱼”（quishing）。

现在，骗子会在邮件或短信中附上二维码，用它取代传统的可点击链接。用户扫描后，会被引导到伪造的登录页面或支付页面。由于收件人看不到具体网址，这类信息看起来更“干净”、更可信，还可能绕过部分邮件安全过滤系统。

恶意下载

有些二维码不仅会打开网页，还会直接触发应用或文件的下载，而这些文件可能包含恶意软件。一旦安装，攻击者就可能借此访问你的设备、数据或在线账户。

由于这一过程往往发生得很快，你可能还没来得及判断下载是否可信，就已经点了“允许”或“安装”。

公共场所的假二维码

最简单、也最常见的一类骗局，是用假二维码覆盖真二维码。

例如，有骗子被发现将伪造的二维码贴在停车计费器上。司机扫描后，会被带到一个仿真的支付页面，页面会要求输入银行卡信息。类似的伎俩也可能出现在公共场所的海报、传单、指示牌等位置，只要有二维码，就有被替换的可能。

重定向骗局

即便一个二维码看上去“官方”“正规”，也不代表绝对安全。有些二维码会先把你导向一个中间网站，再经过多次重定向，最终落到一个伪造页面上。

多重跳转会掩盖真正的目标网站，使异常行为更难被察觉。当你看到最终页面时，它往往已经足够逼真，让人放松警惕。

如何更安全地使用二维码

好消息是，你不必因为这些风险就完全放弃二维码，只需要在使用时多一点谨慎。

• 把二维码当作陌生链接对待：如果你平时不会随便点开来路不明的链接，也不要随意扫描不明来源的二维码。
• 留意是否被篡改：在公共场所使用二维码前，仔细看看它是否是贴在原有二维码上的贴纸，周围有没有被撕贴、覆盖或涂改的痕迹。
• 先看网址再决定是否打开：很多手机在打开二维码链接前，会先显示目标网址的预览。不要立刻点“前往”，花几秒钟确认域名是否看起来可信、是否与你预期的网站一致。
• 警惕“主动找上门”的二维码：如果你通过邮件或短信收到二维码，对方要求你登录账户或完成支付，尽量不要直接扫描。更安全的做法是自己在浏览器中输入官网地址，或通过官方 App 进行操作。
• 不要急着输入敏感信息：当网页要求你输入密码、银行卡号或其他敏感信息时，先停一下，确认网址是否正确、页面是否真的是你要访问的服务。
• 保持手机系统和应用更新：虽然更新有时会打断使用，但安全补丁确实能帮助设备抵御部分恶意网站和恶意下载的攻击。

二维码本身并不是危险技术，它只是一个让日常操作更顺畅的工具。但它跳过了一个关键的安全步骤：在你“到达”之前，你看不到自己究竟要去哪里。

下次准备扫描二维码时，不妨多花几秒钟检查一下。在诈骗手段越来越隐蔽、越来越智能的今天，一个简单而有效的习惯就是：不要盲目信任任何二维码，始终核实它真正指向的目的地。

本文根据 The Conversation 文章编译，原文采用知识共享许可协议发布。