社会工程学(Social Engineering)是不利用技术漏洞,而是利用人类心理(信任、恐惧、好奇心、紧迫感)诈取机密信息的攻击手法。包括钓鱼邮件、冒充电话、伪装技术支持、尾随进入(尾门)等。再高级的安全系统,人被骗就会被突破。
二维码正被作为社会工程学的新向量被恶用。由于「扫描二维码就能获得便利信息」的社会信任感已经形成,用户倾向于不质疑二维码的安全性就进行扫描。攻击者利用这种信任,将恶意二维码贴在公共场所或嵌入钓鱼邮件中。
防御措施包括:不扫描来源不明的二维码,扫描后确认 URL域名再点击,公共场所的二维码检查是否有贴纸覆盖的痕迹,企业应对员工进行二维码安全意识培训。