QR 码

什么是 QR 码

QR 码 (Quick Response Code) 是一种正方形的矩阵式二维条形码。1994 年由日本电装公司 (现电装 Wave) 的开发团队为提高汽车零部件生产管理效率而发明。与传统条形码只能在水平方向存储信息不同，QR 码可以在纵横两个方向编码数据，因此能在极小的面积内容纳数千个字符。

最初仅用于工厂库存管理，但电装 Wave 开放了专利使用权后迅速普及。如今 QR 码已广泛应用于移动支付、电子票务、URL 分享、名片交换、疫苗接种证明等日常生活的各个方面。

QR 码的数据结构

QR 码看似随机的黑白点阵，实际上具有严格定义的结构。

QR 钓鱼 (Quishing) 的威胁

随着 QR 码的普及，一种名为 QR 钓鱼 (Quishing) 的新型攻击手法正在急剧增加。攻击者将恶意 URL 嵌入 QR 码中，将用户引导至钓鱼网站或恶意软件分发站点。

Quishing 比传统钓鱼更加危险的原因在于，QR 码的内容在扫描前无法目视确认。电子邮件中的链接可以通过悬停查看 URL，但 QR 码只有扫描后才能知道跳转目标。

典型攻击场景

• 停车场或餐厅的伪造 QR 码：在正规支付 QR 码上贴上伪造贴纸，将资金转入攻击者账户
• 邮件中的 QR 码：伪装成安全更新要求扫描，实际引导至窃取凭证的网站。邮件过滤器难以分析图片中的 QR 码，因此比文本钓鱼更容易绕过检测
• 伪造 Wi-Fi 连接 QR 码：替换咖啡厅或机场的 QR 码，将用户连接到恶意网络

安全使用 QR 码的实用指南

• 扫描后确认 URL：扫描 QR 码后，务必检查浏览器显示的 URL。如果是短链接，展开后再访问。不要在非 HTTPS 网站输入个人信息。
• 警惕公共场所的 QR 码：目视检查是否有贴纸覆盖在原始码上，或印刷品是否被篡改。如有疑虑，不使用 QR 码，直接访问官方网站。
• 使用系统默认相机应用：部分第三方扫描应用会收集扫描历史。iOS 和 Android 的默认相机在打开链接前会预览 URL，安全性更高。
• 启用双因素认证：即使不慎在钓鱼网站输入了凭证，双因素认证也能阻止未授权登录。
• 企业防护措施：在员工安全培训中加入 Quishing 案例。部分邮件安全产品具备分析 QR 码中 URL 的功能，值得考虑引入。

常见误解

QR 码本身包含病毒

QR 码仅是数据载体，无法执行程序。真正的危险在于编码中嵌入的目标 URL。养成扫描后检查 URL 的习惯是最有效的防护手段。

QR 码是只读的，无法被篡改

虽然 QR 码内的数据是固定的，但通过物理替换贴纸或更改短链接服务的重定向目标，可以实现实质性的篡改。公共场所的 QR 码始终存在被篡改的风险。

相关术语