北京
周三下午,我的收件箱里躺著一封從“內部人力資源部”發來的通知。郵件主題提到薪資更新、福利調整和截止日期,措辭正經得像每年兩次的正式考核。正文里甚至放了一個微軟標志,看起來的確是IT部門會發出的那種加密鏈接入口。唯一不尋常的是,它沒有讓我點擊藍色超鏈接,而是用一整段加粗字體催促我“掃描下方二維碼查閱個人評估檔案”。
恰好那周我聽說有位同事因為停車罰單短信里的二維碼被騙了付款信息,我多了個心眼,沒有立刻掏出手機。我盯著發件人的姓名欄看了五秒鐘——顯示的是“CyberGuy”,后面跟著一個完全陌生的郵箱地址:mario@toituresphenix.com。一個屋頂維修公司的域名,跟我所在的企業毫無關系。這封郵件的所有說服力,瞬間碎了一地。
這封郵件的騙局思路,在安全研究員口中叫“quishing”,也就是QR碼釣魚。攻擊者專門把惡意鏈接藏進二維碼圖像,誘使用戶用手機掃描。其陰險之處在于:二維碼天生不展示實際網址,而手機在跳轉前往往只顯示一個縮略域名,很難像電腦瀏覽器那樣在狀態欄里看到完整鏈接。更何況,大多數人根本不會在掃碼前停下來問一句“這個域名是內部系統嗎”。騙子賭的就是你用碎片時間在手機上處理工作,倉促間放棄驗證。
我把這封郵件從頭到尾拆解了一遍,發現了六個危險信號,它們單獨出現或許還能解釋,但湊在一起就幾乎百分百坐實這是一場社會工程攻擊。
第一,發件人域名和公司品牌完全不符。 顯示名寫成“CyberGuy”,但實際郵箱是mario@toituresphenix.com。正規企業的人力資源通知一定會從自有域名發出,比如hr@公司名.com,絕不可能用某個與公司業務無關的第三方域名。如果發現郵件來自奇怪的屋頂維修商、旅館或食品配送地址,可以直接判定為可疑。
第二,郵件用一個緊急截止日期制造焦慮。 文中明確指出“請于2026年5月15日前完成操作”。截止日期本身就是常見的釣魚觸發器,它讓人們腎上腺素微微上升,跳過理性檢查步驟。真正的HR系統當然也會設截止時間,但會通過內部公告、系統彈窗或主管當面提醒等多渠道告知,不會僅靠一封隨機郵件配上突兀的二維碼。
第三,二維碼被設計成唯一的行動入口。 整封郵件的交互邏輯高度單一:沒有可以點擊的文字鏈接,沒有網頁版入口,沒有提示登錄內部門戶,只反復敦促你“掃描二維碼查閱檔案”。用二維碼隱藏目標URL,讓電腦端的反釣魚軟件無法檢測,也阻止了你在復制鏈接后粘貼到地址欄仔細審閱的行為。對薪酬調整、績效評語這類高度敏感的信息,任何合規的HR系統都會提供多個訪問路徑,且絕不依賴單一圖片碼。
第四,問候語是敷衍的占位符。 抬頭寫著“Dear Techtips”,明顯像是從群發列表里抓取了一個欄目名稱,而不是我的真實姓名。公司的正式績效溝通一定會附上員工全名,有時甚至帶上工號或所屬部門,這些細節是批量詐騙郵件很難事先掌握的。
第五,對內部系統的描述極度空洞。 郵件一再提及“安全的人力資源訪問系統”,卻從未說出具體的平臺名稱,比如Workday、ADP或企業自研的某套管理系統。這種模糊表述刻意避免給出可驗證的信息,讓收件人既無法向IT部門求證,也無法憑記憶判斷是否熟悉。
第六,品牌標識看似規范卻經不起細看。 郵件里嵌入了微軟的LOGO,但正文排版生硬,字體大小不一,落款缺乏法律聲明、隱私鏈接和具體聯系人簽名欄。大企業的模板郵件通常包含固定的頁腳元素,這些缺失同樣是偽造痕跡。
為什么這類QR碼釣魚開始頻繁替代鏈接式釣魚?背后的邏輯在于防御墻的錯位。過去十年,郵件安全網關和端點防護對URL檢測已經很成熟,陌生域名會在點擊瞬間被攔截。但二維碼迫使受害者從受保護的電腦屏幕轉移到相對裸奔的手機環境,手機端的安全軟件權限有限,瀏覽器對短域名的展示也不完整。潛在損失不止是郵箱淪陷——一旦員工掃描后輸入企業賬號密碼,攻擊者就可能橫向移動到內部系統,竊取薪資數據甚至修改銀行賬戶。
面對來路不明的二維碼,無論郵件里畫了多少個“機密”紅章,停頓五秒,先看發件人實際域名,這是成本最低的防護手段。再有,直接通過已知的官方渠道登錄HR系統查看是否有待辦事項,比掃碼可靠得多。這封偽裝成年度評估的郵件沒有騙到我的登錄憑證,但它在收件箱停留的二十分鐘里,已經夠讓我重新審視:日常那些被我們當作理所當然的“掃碼登錄”“掃碼查看”,有時可能正是防御體系里的一個小缺口。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
