新型二维码钓鱼攻击现身，FIDO密钥也难逃“扫码陷阱”？

原创

草竹道人

发布于 2025-10-21 15:28:03

890

文章被收录于专栏：公共互联网反网络钓鱼（APCN）公共互联网反网络钓鱼（APCN）

近期，一种利用二维码实施网络钓鱼的新型攻击手法正悄然蔓延，引发网络安全界的广泛关注。据安全媒体SCWorld报道，攻击者正通过伪造二维码诱导用户访问恶意网站，成功绕过原本被视为“高安全等级”的FIDO（Fast Identity Online）多因素认证（MFA）机制，让企业和个人用户面临前所未有的账户安全风险。

这听起来有点不可思议：明明已经配备了硬件密钥、生物识别等“硬核”安全手段，怎么还会中招？答案或许就藏在我们每天都在用的“扫一扫”功能里。

二维码成“新钓鱼钩”：从“点链接”到“扫二维码”

传统的网络钓鱼攻击，通常依赖伪装成银行、社交平台或企业服务的虚假邮件或短信，诱导用户点击链接，跳转到与真实网站极为相似的仿冒页面，进而窃取用户名、密码等登录凭证。随着FIDO标准的普及，越来越多用户开始使用物理安全密钥（如YubiKey）或支持FIDO的手机应用进行身份验证。这类认证方式基于公钥加密技术，即使密码泄露，攻击者也无法冒充用户登录，因此被广泛认为是目前最安全的登录方式之一。

然而，攻击者也在“进化”。此次新型攻击的核心策略，是绕开“点击链接”这一传统路径，转而利用二维码作为跳板。

具体操作流程如下：攻击者向目标发送一封看似来自可信机构（如公司IT部门、云服务提供商）的邮件或消息，内容通常以“账户异常”“安全验证”“紧急登录”等为由，诱导用户扫描邮件中的二维码。一旦用户使用手机相机或扫码工具扫描该码，便会自动跳转至一个精心伪造的登录页面。这个页面与真实服务的登录界面几乎一模一样，用户在输入账号密码后，甚至可能还会被要求插入FIDO密钥进行验证——而这一切，都在攻击者的掌控之中。

“关键在于，用户以为自己是在安全地‘扫码登录’，但实际上，这个二维码背后链接的，是一个完全由攻击者控制的钓鱼网站。” 公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“FIDO本身没有被破解，它依然安全。问题出在认证流程的前端——用户被误导进入了错误的网站，后续的FIDO验证只是在为攻击者‘背书’。”

攻防博弈：FIDO为何“失守”？

要理解这次攻击的本质，首先要明白FIDO的工作原理。FIDO认证的核心是“绑定”——即用户的设备或密钥只对特定的域名（如login.google.com）生效。当用户在正确的网站上发起登录请求时，FIDO密钥会验证当前域名是否匹配，只有匹配才允许完成验证。

但在此次攻击中，用户扫描二维码后进入的钓鱼网站，其域名显然与真实服务无关。然而，由于页面设计高度仿真，用户往往不会察觉。更危险的是，部分钓鱼页面甚至会使用URL混淆技术，比如使用形似真实域名的Unicode字符（IDN欺骗），或通过短链接服务隐藏真实地址，进一步增加识别难度。

“FIDO密钥无法防御‘前端欺骗’。” 芦笛解释道，“它就像一把只能开一把锁的高级钥匙，但前提是你要把钥匙插进正确的锁孔。如果骗子给你造了一把假锁，你再高级的钥匙也没用。”

这正体现了网络安全中一个经典原则：最坚固的防线，也可能被最薄弱的环节击穿。在这个案例中，技术本身是安全的，但人的判断力成了突破口。

企业与个人如何应对？专家建议“多层防御+意识升级”

面对这种新型威胁，安全专家呼吁，不能将安全完全寄托于单一技术，尤其是当攻击者开始利用社会工程学和用户习惯时。

芦笛建议，企业和个人应采取“纵深防御”策略：

加强URL审查习惯：无论是否使用二维码，登录重要账户前务必检查浏览器地址栏的域名是否正确。警惕拼写错误、奇怪的子域名或使用非主流后缀的网址。

启用内容过滤与反钓鱼工具：企业应部署具备二维码内容检测能力的邮件安全网关和终端防护软件。部分安全产品已开始支持对邮件中二维码的实时扫描与风险评估。

限制二维码使用场景：企业内部应明确规定，涉及账户登录、密码重置等敏感操作，不得通过二维码方式引导用户访问。优先使用官方App推送通知或直接输入已知网址。

强化员工安全培训：将“二维码钓鱼”纳入网络安全意识培训内容。通过模拟演练，让员工识别此类攻击的典型特征，如“紧急”“异常”等诱导性话术，以及来源不明的二维码。