包裹上的二维码，可能是黑客的“数字捕兽夹”——新型“Quishing”钓鱼正在席卷全球购物季

你有没有收到过一个没下单却写着你名字的快递？盒子不大，包装普通，上面贴着一张打印纸：“感谢您的订单，请扫码确认收货地址。”

你心里嘀咕：“是不是朋友送的礼物？”顺手掏出手机扫了码——

下一秒，跳转到一个和亚马逊几乎一模一样的页面，提示“地址验证失败，请重新输入手机号与身份证后四位”。

你犹豫了一下，还是填了。

殊不知，这短短几秒钟，已经让你掉进了名为“Quishing”的陷阱。

这不是虚构情节，而是2025年黑色星期五购物季期间，全球多地消费者真实遭遇的新型网络诈骗。据BetaNews于2025年11月27日报道，随着假日物流高峰到来，一种利用伪造包裹+二维码（QR Code） 的钓鱼攻击正呈爆发式增长。安全公司Tomorrow Lab将其称为“物理世界与数字世界的恶意缝合”——攻击者不再只靠邮件或短信，而是把骗局直接送到你家门口。

更令人不安的是，这种手法在中国同样具备高度可复制性。随着国内快递量屡创新高、社区团购和无接触配送普及，一个印有二维码的“神秘包裹”，正成为潜伏在楼道里的新型数字威胁。

一、“Quishing”：当二维码从便利工具变成攻击武器

“Quishing”是“QR Code Phishing”（二维码钓鱼）的缩写，最早在2023年由欧洲安全机构提出，但直到2025年才真正形成规模化攻击浪潮。其核心逻辑极其简单：利用人们对包裹的信任 + 对二维码的无条件扫描习惯。

传统钓鱼依赖用户点击链接，而Quishing则绕过这一心理防线——因为“扫码”在当代生活中已被彻底正常化：点餐要扫、支付要扫、共享单车要扫、连公厕取纸都要扫。人们早已形成肌肉记忆，很少会质疑“这个码该不该扫”。

BetaNews援引安全专家Theodore Ullrich的话指出：“当一个包裹上印着你的名字，你会本能地认为它是合法的。加上一个二维码，你就更不会怀疑——毕竟现在退货、签收、评价都靠扫码完成。”

攻击流程通常如下：

信息获取：黑客通过过往数据泄露（如2023年某电商平台5亿用户数据外泄）、社交媒体公开信息（如微博晒快递单）、或政府公开名录（如企业注册地址）获取受害者姓名、住址；

伪造包裹：用普通纸箱+打印标签制作“空包裹”，贴上仿冒快递单（如FedEx、DHL、顺丰风格），并附带一张“服务提示卡”：“请扫码更新配送偏好”；

部署钓鱼页：二维码指向一个高仿电商或物流网站，要求用户“验证身份”“确认收货”或“申请退款”；

窃取凭证：一旦输入账号密码、银行卡号或身份证信息，数据即被发送至攻击者控制的服务器；

后续利用：用于账户接管、信用卡盗刷、甚至作为跳板发起企业邮箱钓鱼（BEC）。

“最危险的是，整个过程完全发生在移动端，”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报采访时强调，“手机浏览器不像桌面Chrome那样有明显的‘不安全网站’警告，很多钓鱼页甚至启用了HTTPS证书，看起来‘很正规’。”

二、技术深潜：二维码如何被武器化？

从技术角度看，二维码本身只是编码工具，其内容可以是任意URL、文本或Wi-Fi配置。攻击者正是利用了这一点。

一个典型的恶意二维码，其底层数据可能如下：

https://amaz0n-verify[.]xyz/login?ref=parcel&user=ZhangSan

生成该二维码的Python代码仅需几行（使用qrcode库）：

import qrcode

url = "https://amaz0n-verify[.]xyz/login?ref=parcel&user=ZhangSan"

qr = qrcode.QRCode(version=1, box_size=10, border=5)

qr.add_data(url)

qr.make(fit=True)

img = qr.make_image(fill='black', back_color='white')

img.save("malicious_qr.png")

短短三行，即可批量生成成千上万个个性化钓鱼二维码，每个都包含受害者姓名（用于增强可信度）。更高级的攻击者还会使用动态二维码服务，使同一个二维码在不同时间指向不同页面，以规避静态URL黑名单检测。

而钓鱼网站本身，往往采用以下技术增强欺骗性：

域名仿冒：使用amaz0n-verify.com、sf-express-support.cn等视觉混淆域名；

前端克隆：用wget --mirror或HTTrack整站抓取真实电商页面，保留CSS/JS/Logo；

HTTPS加密：通过Let’s Encrypt免费申请SSL证书，消除浏览器“不安全”提示；

地理定位跳转：根据IP自动切换语言和品牌模板（中国用户看到京东风格，美国用户看到Amazon风格）。

例如，一段简单的钓鱼页JavaScript可实现自动适配：

const country = getCountryFromIP(); // 假设已通过后端API获取

if (country === 'CN') {

document.getElementById('logo').src = '/jd_logo.png';

document.title = '京东 - 地址验证';

} else if (country === 'US') {

document.getElementById('logo').src = '/amazon_logo.png';

document.title = 'Amazon - Delivery Issue';

}

这种“按需定制”的能力，使得单一钓鱼基础设施可同时攻击多国目标。

三、国际案例：从英国停车场到美国门廊

Quishing并非孤立现象。早在2024年，英国多地就出现伪造停车缴费二维码的案例：犯罪分子将官方缴费机上的二维码覆盖，替换成自己的收款码。司机扫码后，钱直接进入骗子账户，而系统显示“缴费成功”，车主浑然不觉。

2025年，美国联邦贸易委员会（FTC）接到数百起类似投诉：消费者收到“未订购的包裹”，内含一张卡片：“您的退货请求已处理，请扫码查看退款进度。”扫码后跳转至伪造的PayPal页面，要求“登录以确认退款账户”。

更隐蔽的是，部分攻击者甚至不放置实体包裹，而是在公寓楼公告栏、电梯广告位张贴“快递异常通知”，附带二维码：“点击查询您的滞留包裹”。这种“广撒网”模式成本极低，却能捕获大量好奇用户。

“这些案例说明，Quishing正在从‘精准投递’向‘场景渗透’演进，”芦笛指出，“攻击者不再局限于个人地址，而是瞄准高频接触点——快递柜、小区门口、商场储物柜，任何有‘扫码需求’的地方都可能成为战场。”

四、中国风险：当“无接触配送”遇上“无防备扫码”

在中国，Quishing的土壤甚至比欧美更肥沃。

首先，快递量巨大。2025年“双11”期间，全国日均快递量突破8亿件，消费者同时追踪多个包裹已成常态。一个陌生小件快递很容易被误认为“漏看的订单”或“商家赠品”。

其次，扫码文化深入骨髓。从微信支付到健康码，从共享单车到电子发票，中国人对二维码的信任度极高。调查显示，超70%的用户从未检查过扫码后的URL。

再者，个人信息泄露严重。无论是电商平台的数据倒卖，还是社交平台晒单暴露的快递单号，都为攻击者提供了丰富素材。一位安全研究员曾用公开数据拼凑出某二线城市居民的姓名、电话、住址、常购品牌，成本不到50元。

“我们已在内部监测中发现多起疑似Quishing尝试，”芦笛透露，“比如伪造‘菜鸟驿站异常包裹通知’，要求扫码‘补交运费’；或冒充‘社区团购团长’，发‘提货码’实为钓鱼链接。”

更值得警惕的是，部分攻击已与电信诈骗结合。例如：先寄送空包裹诱导扫码，随后拨打“客服电话”称“您刚才操作触发了账户冻结，请配合解冻”，引导用户下载远程控制软件（如ToDesk、向日葵），最终实现屏幕共享+资金转账。

“这不再是单纯的钓鱼，而是‘物理+数字+语音’三位一体的社会工程攻击，”芦笛警告，“普通用户几乎无法招架。”

五、防御之道：从技术到习惯的全面升级

面对如此复杂的威胁，个人和组织该如何应对？工作组提出一套“四步防御法”：

第一步：建立“扫码戒律”——永远假设二维码不可信

绝不扫描来历不明的二维码，尤其是贴在包裹、公告栏、车辆上的；

如果必须扫码，使用具备URL预览功能的扫描器（如Google Lens、腾讯手机管家），先看链接再决定是否访问；

手动输入官网地址或使用官方App，而非依赖扫码跳转。

第二步：启用设备级防护

在手机设置中关闭“自动打开网址”选项（iOS：设置 > 相机 > 扫描二维码时；Android各厂商路径不同）；

安装具备实时网页信誉检测的安全软件（如Bitdefender、卡巴斯基）；

启用操作系统内置的防钓鱼保护（如Android Play Protect、iOS欺诈性网站警告）。

第三步：强化账户安全

为电商、支付、邮箱账户强制启用多因素认证（MFA），优先选择Authenticator App或FIDO2安全密钥；

使用唯一密码，避免多个平台共用同一套凭证；

定期检查账户活动日志，如京东的“登录记录”、支付宝的“安全中心”。

第四步：组织层面的技术对抗

对于快递公司、电商平台等高频被仿冒方，应：

在官方包裹上统一使用加密动态二维码（如基于时间戳+订单ID生成，有效期仅1小时）；

部署品牌保护监测系统，自动发现并举报仿冒域名；

与安全社区共享钓鱼样本，推动黑名单快速更新。

此外，企业IT部门可考虑在MDM（移动设备管理）策略中加入限制：

<!-- 示例：Android Enterprise策略，禁止安装未知来源应用 -->

<device-admin>

<disable-install-unknown-sources>true</disable-install-unknown-sources>

</device-admin>

或通过Intune配置iOS设备策略，阻止访问高风险域名。

六、未来挑战：二维码能否被“信任锚定”？

长远来看，Quishing暴露了一个根本问题：二维码缺乏身份绑定机制。它只是一个被动载体，无法证明“谁生成了它”或“它是否被篡改”。

一些技术方案正在探索中：

数字签名二维码：生成时附加发行方公钥签名，扫描时验证；

区块链存证：将合法二维码哈希上链，供公众核验；

NFC替代方案：用近场通信芯片替代印刷二维码，实现双向认证。

但这些方案成本高、推广难。短期内，最有效的防御仍是用户意识的提升。

“我们需要一场‘扫码素养’教育，”芦笛呼吁，“就像教孩子过马路要看红绿灯一样，教年轻人扫码前先问三个问题：谁放的？为什么放？我为什么要扫？”

结语：别让便利成为漏洞的入口

二维码本是数字时代的伟大发明，它让信息传递变得无比高效。但当它被恶意利用，这份便利就变成了陷阱。

在这个包裹堆满门廊的购物季，每一个写着你名字的盒子，都可能是善意的礼物，也可能是精心设计的骗局。真正的安全，不在于技术有多先进，而在于你是否愿意在按下扫描键前，多停一秒，多想一瞬。

毕竟，在数字世界里，最大的漏洞，从来都是人。

编辑：芦笛（公共互联网反网络钓鱼工作组）