随着数字时代的到来，二维码越发融入我们的生活。很多场合都有二维码，看网页要扫二维码，加好友要扫二维码，在菜市场买菜也需要扫二维码支付。二维码给我们的生活带来了极大便利，但二维码也存在安全隐患，稍不留意，就会泄漏个人信息，更严重的还会造成财产损失。而电子邮件是当前黑客攻击中最脆弱的入口，大约80%以上的网络攻击都从邮件开始。因此，越来越多的黑客通过二维码恶意邮件进行违法活动。

那么，二维码和二维码恶意邮件的原理究竟是什么？又该如何防范二维码恶意邮件带来的风险呢？今天思安麦赛安全实验室的邮件安全专家做出了详细的介绍与分析。

2023.07.24~2023.07.28

01背景介绍

什么是二维码

二维码是一种二维的条形码，可由智能手机或配备二维码阅读器的设备读取。该码由黑白方块按照网格排列组成，可以通过智能手机或专用设备的摄像头进行扫描。二维码最初于1990年代在日本开发，用于在制造过程中跟踪车辆零部件。

二维码的前身是咱们常见的条形码。条形码是将每种商品进行编号，用粗细不同的黑条组成独一无二的商品指纹，例如在商品包装上经常看到的粗细不均的黑白条，里面就藏着商品编号信息，如价格、商品名称等。但是条形码只能在同一个方向上进行编码，因此也被称为一维码，一维码各种组合的数量有限，信息容量小，并且只能用实体的扫描枪进行物理扫描，所以在条形码的基础上产生了二维码。

图1. 条形码示例

其实二维码并不神秘，它就是把信息翻译成一个个黑白小方块，然后再填进一个大方块里。如何将信息和黑白方块相对应呢？这就要提到一个具有划时代意义的发明“二进制”。通过二进制，把每一个文字、数字、符号“翻译”成一串由“0”和“1”组成的字符串。用白色方格代表“0”，黑色方格代表“1”。然后按特定规律，把这些白色与黑色方格进行排列，就得到了二维码。二维码实质上就是把信息（数据）转成二进制码，再把二进制码填充到二维码这个大方块中。那么三个“蹲”在角落里的黑方块是做什么用的呢？它们是用来定位的，让你不管是横着扫还是竖着扫，都能够准确无误地获取到二维码里记录的信息。相较于条形码只能在水平方向存储信息，二维码则是在两个维度上记录信息，加大了信息的存储量。

图2. 二维码示例

二维码恶意邮件

黑客可以通过多种方式利用二维码发起网络攻击。其中一种方法是创建一个看起来合法的虚假二维码，并将其放置在公共场所，比如广告牌或商店里。当有人扫描这个码时，它可能会导向一个看起来像是合法登录页面或其他在线服务的网站，但实际上是伪造的，旨在窃取用户的登录凭据或个人信息。

与此同时，越来越多的黑客使用“邮件”作为虚假二维码的载体，当用户扫描时会导向一个伪造的网站或下载恶意软件到用户的设备上。攻击者喜欢使用邮件作为攻击方式，因为电子邮件普及性广泛，结合社会工程学的伪装能蒙骗受害者，攻击隐蔽性高且可以利用系统漏洞传播恶意软件。同时，自动化工具使得黑客能够大规模展开攻击，提高攻击效率并降低成本。

常见的二维码恶意邮件的攻击链条如下图所示：

图3. 二维码恶意邮件攻击链条

二维码恶意邮件攻击案例

在2022年年底和2023年年初，关于补贴类的二维码类钓鱼邮件非常的流行，员工收到的典型的恶意邮件样本如下：

图4. 补贴类钓鱼邮件样本

一旦附件被打开，用户会看到一些诱惑性文本和一个位于文档中心的二维码。

图5. 钓鱼邮件样本的附件内容

当员工使用移动设备、平板电脑或台式机扫描二维码时，会自动打开浏览器访问一个由攻击者精心构造的钓鱼网站。该网站仿冒了钉钉（DingTalk）的登录页面。钉钉是阿里巴巴集团开发的知名企业通讯平台。考虑到该平台的影响力和庞大的用户数量，获取钉钉的登录凭证对攻击者来说具有很高的价值。

在员工访问钓鱼网站后，他们会立即收到一个弹出式消息框，提示称他们的钉钉账户涉嫌违规操作，如果不进行验证，账户将在24小时内被冻结。在员工点击确认了这个消息框后，他们会被邀请输入他们的登录凭证来解决这个问题。

图6. 弹出窗口提示账户涉嫌违规

图7. 邀请输入

02如何防护

基于17年服务近3000家企业的专业经验，思安麦赛安全实验室认为，企业应该从事前教育、事中防护和事后追溯三个方面，做到对二维码恶意邮件的全生命周期防护。

图8. 二维码恶意邮件的全生命周期防护

事前：

邮件安全意识教育

“三分技术，七分管理”。只靠采取各种各样的恶意邮件检测技术是无法做到百分百的防控，难免会有漏网之鱼。在技术手段之外，组织首先应加强员工对二维码恶意邮件的防范意识教育。员工在平常收取含二维码邮件时应做到以下几点：

1. 验证邮件来源：确认邮件的真实性，查看发件人地址和邮件头信息，警惕伪装成合法机构的邮件；2. 谨慎扫描二维码：不要轻易扫描邮件附件或邮件正文中的二维码，特别是来自陌生发件人或不信任来源的；3. 不轻易输入凭证：永远不要在未经验证的网站（二维码扫描后访问的链接）上输入个人信息、登录凭证或敏感数据；4. 及时告知IT部门：若发现恶意邮件或含有钓鱼二维码的邮件，应及时通知相IT部门，减少邮件对其他员工的影响；5. 定期参加培训：应定期参加员工网络安全培训，了解最新的邮件威胁和防御方法。

邮件安全知识教育培训之外，应通过“思安钓鱼邮件演练系统”来测试员工对二维码恶意邮件的安全意识。“钓鱼演练”通过模拟黑客的攻击手段，通过钓鱼演练系统向组织指定的员工邮箱发送二维码恶意钓鱼邮件，并对被钓鱼成功的安全意识薄弱职工进行风险预警提示。通过分析演练结果，知道组织邮件安全的薄弱环节，从而能对症下药。

图9. 思安钓鱼邮件演练系统界面

事中：

二维码综合防护

在事前教育的基础上，企业通过使用含二维码识别防护功能的邮件安全网关可以增强对二维码恶意邮件的防范，阻止这些邮件进入员工的收件箱，减少员工扫描恶意二维码或输入凭证的风险。此外，邮件安全网关还可以提供实时监控和事件响应，及时发现并应对新的二维码攻击手段，提高整体邮件安全防护水平，保护企业免受恶意邮件带来的威胁和损害。

基于过去17年服务近3000家企业的邮件安全专业知识和经验，“思安邮件安全网关”推出多种检测方法相结合的“思安二维码综合防护体系”，分为四个层次，从下到上对二维码进行全面的识别、检测、过滤、警示、追踪、标识等，从而将恶意二维码拒之千里之外，或是持续追踪发现风险行为。

图10. 思安二维码综合防护体系

模拟人类行为识别二维码

“思安邮件安全网关”经过以下三个步骤来模拟人类的行为，识别邮件中是否含有二维码图片，并扫描提取其中的URL链接。整个过程结合了先进的图像处理和解码技术，为“思安邮件安全网关”对二维码的进一步检测、过滤、警示、追踪和标识提供了数据基础。

(1)二维码检测：网关会对邮件中的所含图片进行全面扫描，以便检测是否存在二维码。在这一步骤中，产品采用了高级图像处理技术，如边缘检测、颜色过滤和形状匹配等，来准确地辨别潜在的二维码图像。这确保我们能够及时捕捉到邮件中可能存在的二维码，并为后续处理做好准备。

(2)二维码解码：一旦确认存在二维码图像，网关会立即对其进行解码。在解码过程中，产品使用专业的解码算法，对二维码图像中的数据进行还原。这一步骤非常关键，因为它能够将图像中的编码信息转换为原始的文本或链接。产品的解码技术非常精准和高效，即使二维码图像可能部分损坏或模糊，也能成功还原其内容。

(3).URL链接提取：成功解码后，网关会快速找到并提取出二维码中所包含的URL链接信息。该URL链接提取技术可靠且高效，能以ms为单位提取出URL链接信息。

检测并拦截恶意二维码

基于对二维码图片的准确识别和解析，“思安邮件安全网关”可对二维码图片类型，以及扫描后的URL进行安全过滤，并结合“思安邮件安全综合评分机制”的其他检测技术一起，对一封邮件的风险性进行综合打分，以决定应该采取的安全防护动作。

图11. 识别邮件中是否含有二维码

图12. 过滤含有指定URL的二维码图片（“QR_”代表二维码图片）

与此同时，网际思安建设了邮件威胁情报中心，通过基于全球的蜜罐、情报互换、用户上报等，搜集了海量的邮件威胁情报，包括恶意代码、钓鱼链接、垃圾邮件、攻击者行为模式等。这些情报数据可以帮助我们快速且准确识别出二维码图片背后的恶意URL链接。

图13. 网际思安邮件威胁情报中心

钓鱼沙箱保护二维码访问

如果二维码图片在前期检测中无法直接判定其是否为恶意邮件时，“思安邮件安全网关”可通过“风险警示”告知员工警惕对二维码的扫描访问。与此同时，通过“钓鱼邮件沙箱”技术，在隔离容器环境中追踪员工对二维码的访问，从而及时发现并阻断风险。

图14. 针对二维码的“风险警示”

网际思安的“钓鱼沙箱”技术，可为每次的二维码访问构建一次性的“远程浏览器”容器运行环境，在隔离环境中安全访问二维码关联的链接。即使是恶意链接，也可以保证其远离员工计算机被访问，而不会影响员工计算机。

图15. 网际思安的“钓鱼沙箱”技术

事后：

攻击追溯与取证

除了从“员工角度”对恶意二维码邮件进行检测和防护，为方便“邮件安全管理员”对含有二维码图片邮件的追溯、分析和取证，“思安邮件安全网关”可对含二维码图片的攻击邮件和正常邮件的原件进行留存，并在Web管理平台上进行标识，从而为事后的司法追责和技术溯源提供了强有力的支撑。

图16. 含二维码图片邮件的留存和标识

与此同时，思安麦赛安全实验室构建了全新的事件查询架构，其高性能索引查询通过优化数据结构和算法，能够快速定位和检索指定的邮件安全事件，提高查询效率和响应速度，支持在秒级单位内对千万条数据进行查询，提高了邮件安全部门的工作效率和分析速度。

关于MailSec Lab

北京网际思安科技有限公司麦赛邮件安全实验室（MailSec Lab）依托于网际思安过去12年积累的邮件威胁数据，汇集了一批10+工作经验的行业专家，专注于新型邮件威胁的调研，和下一代邮件安全技术的创新性研究。在过去十多年中，MailSec Lab服务于3000+家各个行业领域的典范客户，获得客户的广泛赞誉。与此同时，实验室积极与国际和国内知名信息安全厂商合作，广泛开展威胁情报互换、共同研究等合作，构建共同防御的威胁防护体系。