首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >二维码钓鱼攻击演进与邮件安全多层防御体系研究

二维码钓鱼攻击演进与邮件安全多层防御体系研究

原创
作者头像
芦笛
发布2026-07-07 10:15:02
发布2026-07-07 10:15:02
170
举报

摘要

传统文本链接类钓鱼攻击防护技术持续迭代完善,攻击者转向二维码钓鱼(Quishing)作为新型绕过手段,依托邮件载体实现跨设备身份窃取攻击。基于 TipRanks 行业报道披露的监测数据,2025 年下半年主流邮件安全网关被二维码钓鱼攻击突破案例规模增长五倍,HTML 表格绘图二维码、隐写二维码、分层跳转域名等新型规避技术大量应用,现有邮件安全静态检测机制存在显著防御盲区。本文系统梳理二维码钓鱼攻击三阶段演化脉络,拆解邮件场景下主流规避检测技术、跨终端攻击链路,剖析传统邮件安全网关在图像解析、跨设备管控、动态域名识别层面的结构性缺陷;结合反网络钓鱼技术专家芦笛的技术研判观点,构建邮件文本语义识别层、多模态二维码图像解析层、扫码后 URL 风险校验层三层联动防御架构,提供完整轻量化 Python 检测代码实现;从邮件网关改造、终端移动管控、黑产情报协同、员工安全认知四个维度提出闭环治理方案。研究证实,单一文本检测或基础图片 OCR 工具无法抵御工业化二维码钓鱼攻击,多模态融合检测配合全链路流量管控是补齐邮件安全短板的核心路径。

关键词:二维码钓鱼;邮件安全;多模态检测;网络钓鱼规避技术;分层防御

1 引言

1.1 研究背景

企业邮件系统作为内部办公、外部商务沟通核心载体,长期是网络钓鱼攻击的主要投放渠道。过去数年,邮件安全厂商持续完善 URL 黑名单、关键词过滤、SPF/DKIM/DMARC 域名认证、内嵌链接扫描等防护能力,纯文本、静态图片链接钓鱼攻击拦截率持续提升,攻击者逐步寻找现有防护体系的薄弱环节,二维码钓鱼由此成为黑产规模化投放的新型攻击载体。

境外资讯平台 TipRanks 发布的行业专项研究显示,安全厂商 StrongestLayer 针对 200 余起真实突破邮件网关的二维码钓鱼事件开展追踪统计,2025 年 8—11 月间成功绕过主流邮件安全产品的钓鱼攻击数量由 4.6 万起攀升至 25 万起,涨幅接近五倍,Microsoft Defender、标准化邮件安全网关均出现大面积漏报情况。报告明确,此类攻击普遍利用 “移动端扫码空白区” 实现防护逃逸:员工使用个人未管控手机扫描邮件内二维码,攻击链路脱离企业 EDR、网页代理、域名过滤等边界防护,直接跳转至境外钓鱼页面完成账号、验证码窃取;同时攻击者大量采用云厂商托管域名、多层跳转链路、HTML 虚拟二维码、ASCII 字符二维码等隐蔽手段,规避邮件网关内置图像识别与文本解析模块。

从攻击产业化视角来看,欺诈即服务(FaaS)平台已将二维码生成、隐写封装、邮件批量分发功能标准化打包为订阅服务,无技术基础的下游诈骗人员可一键生成定制化钓鱼二维码模板,嵌入仿人事通知、财务对账、账户安全提醒类邮件批量推送,大幅降低二维码钓鱼的实施门槛。全球安全厂商监测数据显示,2026 年一季度依托 FaaS 平台发起的二维码钓鱼邮件总量同比上涨 146%,政企财务、人力资源、高层管理人员为核心攻击目标,多起企业邮件泄露欺诈(BEC)案件均以恶意二维码邮件作为初始入侵入口。

传统邮件安全防护体系以文本、静态链接检测为核心,针对内嵌图片、附件内二维码的多模态识别能力建设滞后,对 HTML 表格绘制、文档隐写等非图像类二维码识别能力缺失,同时缺少扫码后移动端全链路风险管控手段,形成持续扩大的安全漏洞。在此背景下,系统梳理二维码钓鱼技术演化路径,搭建适配邮件场景的多模态分层防御体系,具备明确的工程实践与行业治理价值。

1.2 国内外研究现状

海外安全厂商与学术机构对二维码钓鱼的研究起步较早,研究重心集中在攻击行为统计、单类规避技术拆解、移动端扫码风险提示三个方向。StrongestLayer、MailGuard 等机构持续跟踪邮件载体二维码钓鱼样本,划分出 2020—2021 萌芽期、2022 产业化成型期、2023 至今多形态隐蔽攻击三个发展阶段,总结出短链接跳转、图像隐写、HTML 虚拟绘图三大核心逃逸技术;微软威胁情报团队披露,PDF、DOCX 附件是恶意二维码最主要承载载体,占全部攻击样本 70% 以上,攻击者利用文档容器隔离图像,削弱邮件网关 OCR 解析效果。但现有海外研究多聚焦攻击现象统计,缺少可落地的轻量化多模态联合检测工程方案,未打通 “邮件解析 — 二维码解码 —URL 风险判定” 完整检测链路。

国内网络安全研究集中于移动端独立二维码识别工具开发,针对邮件场景内嵌二维码、附件内嵌二维码的一体化检测研究相对稀缺。腾讯安全、阿里安全发布的威胁报告证实,国内企业收到的境外二维码钓鱼邮件数量逐年翻倍,攻击者依托跨境 FaaS 平台批量生成定制化二维码,国内多数中小企业邮件网关仅部署基础文本过滤功能,未配置图像解析模块,恶意二维码可直接抵达员工收件箱。现有文献多单独讨论图像二维码识别算法,未结合邮件文本语义、域名信誉、跨终端管控形成闭环防御方案,缺少将攻击技术、检测工程、行业治理结合的系统性研究。

反网络钓鱼技术专家芦笛指出,当前企业安全建设普遍存在认知偏差:多数安全团队将二维码钓鱼归为独立移动端风险,仅在手机端部署简易扫码提醒,忽视邮件作为攻击分发源头的核心作用,邮件网关缺少多模态融合检测能力,防护前置环节出现根本性缺失,仅依靠终端事后提醒无法从源头拦截批量二维码钓鱼邮件。

1.3 研究内容与创新点

本文以 TipRanks 披露的全球二维码钓鱼邮件攻击趋势为基础,完成四项核心研究工作:第一,划分二维码钓鱼攻击三阶段演化历程,系统拆解邮件场景下各类规避检测技术实现原理与攻击链路;第二,从文本解析、图像识别、跨终端管控三个维度论证传统邮件安全网关应对新型二维码钓鱼攻击的固有短板;第三,搭建三层联动多模态防御架构,配套完整可运行 Python 代码,实现邮件文本、二维码图像、跳转 URL 一体化风险判定;第四,从技术改造、企业管控、行业情报、公众认知层面提出全链条闭环防控策略。

本文创新点体现在三方面:一是结合境外行业监测数据,完整梳理邮件载体二维码钓鱼的产业化发展特征,明确 FaaS 平台对攻击规模化的助推作用;二是融合自然语言语义分析、图像形态学处理、URL 风险打分三类技术,构建适配邮件网关轻量化部署的多模态检测模型,提供完整工程代码;三是结合反网络钓鱼技术专家芦笛的专业研判,打通 “攻击技术演化 — 传统防护缺陷 — 多模态检测实现 — 全域治理策略” 完整研究闭环,避免单一技术视角的碎片化分析。

1.4 论文结构安排

本文主体分为六个部分:1 引言,阐述研究背景、行业研究现状、研究创新与整体框架;2 二维码钓鱼攻击演化与邮件场景核心攻击技术,划分攻击发展阶段,拆解主流规避检测手段与标准化攻击链路;3 传统邮件安全网关应对二维码钓鱼攻击的局限性,从文本、图像、终端管控三个维度分析结构性短板;4 面向邮件场景的三层多模态融合防御体系设计,分模块提供 Python 检测代码并说明工程适配场景;5 二维码钓鱼邮件全维度闭环防控实施策略;6 结语,总结研究结论并预判二维码钓鱼技术未来演化方向。

2 二维码钓鱼攻击演化与邮件场景核心攻击技术

2.1 二维码钓鱼三阶段演化历程

结合 TipRanks 行业报告及全球安全厂商长期威胁监测数据,以攻击隐蔽性、规避技术复杂度、产业化成熟度为划分标准,将邮件载体二维码钓鱼发展分为三个清晰阶段,各阶段攻击特征、技术手段、传播规模存在显著差异。

2.1.1 第一阶段:2020—2021 萌芽静态图像阶段

该阶段为二维码钓鱼初始发展期,攻击技术门槛较高,仅少量零散黑客小规模投放。攻击形式单一,直接将静态 PNG/JPG 格式二维码图片嵌入邮件正文,二维码内仅编码单层钓鱼 URL,无跳转、隐写、伪装技术,诱导话术简单粗糙,多直接提示用户扫码完成账户核验。

此时主流邮件网关尚未集成图片 OCR 解码功能,仅依靠文本关键词拦截,静态图片二维码可直接绕过文本过滤规则完成投递;但受限于黑客个人开发能力,攻击总量有限,未形成产业化规模,造成的企业财产损失案例较少。

2.1.2 第二阶段:2022 产业化模板化阶段

2022 年起,FaaS 黑产平台将二维码生成工具标准化封装,实现模板化一键生成,攻击进入产业化扩张阶段。核心变化为:攻击主体由零散黑客转为付费订阅下游诈骗人员,邮件诱导话术高度模仿企业 HR、财务、银行官方通知,二维码内嵌入两层短链接跳转链路,规避单层 URL 黑名单匹配。

载体形式拓展至 PDF 附件,攻击者将二维码嵌入伪造账单、人事调整文档,利用员工对附件文档的信任提升扫码转化率;同时出现基础 LOGO 伪装技术,在二维码表层叠加企业官方标识,视觉层面降低用户警惕性。此阶段二维码钓鱼攻击数量实现翻倍增长,开始出现企业资金被盗刷的真实案例。

2.1.3 第三阶段:2023 至今 多形态隐蔽逃逸阶段

该阶段为当前主流攻击形态,也是 TipRanks 报告重点研究的攻击类型,攻击者围绕邮件网关检测机制持续迭代各类规避技术,多模态隐蔽手段大规模落地。核心技术创新包含 HTML 表格虚拟二维码、ASCII 字符拼接二维码、图像隐写二维码、动态唯一标识二维码四类,全部可通过 FaaS 平台可视化后台一键生成。

攻击链路新增跨设备逃逸设计:二维码跳转链接指向境外云厂商托管域名,员工使用个人手机扫码后脱离企业内网安全管控,中间人中继脚本自动截取 MFA 动态验证码、会话 Cookie,实现完整账户接管;单批次邮件中每一封附带独立哈希特征二维码,破坏安全设备基于样本哈希的批量拦截机制,大幅提升邮件网关漏报概率。

2.2 邮件场景下主流二维码钓鱼规避检测技术拆解

依托 TipRanks 报告中 200 余起逃逸攻击样本,结合安全厂商技术拆解成果,对当前黑产高频使用、可绕过主流邮件安全网关的四类核心隐蔽技术做底层原理分析。

2.2.1 HTML 表格虚拟绘图二维码(无图像文件逃逸)

传统邮件安全网关仅对附件、内嵌图片文件执行 OCR 二维码解码,无法解析纯 HTML 代码绘制的视觉二维码,成为当前最主流逃逸手段。攻击实现逻辑为:攻击者在邮件 HTML 正文内构建多层行列表格,通过单元格背景黑白交替填充,视觉上形成标准二维码图案,全程不包含任何图片文件,邮件网关图像解析模块无法识别二维码存在。

FaaS 平台后台内置可视化拖拽工具,输入目标钓鱼 URL 即可自动生成完整 HTML 表格代码,下游使用者直接复制至邮件模板批量分发。页面仅依靠浏览器渲染呈现二维码,底层无图像二进制数据,基础 OCR 图像扫描模块完全失效,是造成大量邮件网关漏报的核心技术之一。

2.2.2 ASCII 字符拼接二维码(纯文本逃逸)

ASCII 二维码逃逸技术依托特殊字符空格、█、■等文本符号拼接形成二维码视觉图案,完全依托邮件文本载体存在,不产生图片、附件等二进制文件。邮件安全网关文本解析逻辑仅匹配 URL 明文关键词,无法识别字符拼接形成的视觉二维码,用户在手机端打开邮件时,字符缩放后呈现完整扫码图案,扫码跳转钓鱼页面。

TipRanks 监测数据显示,该类攻击在 2025 年四季度投放量增幅超 330%,多用于仿政务、银行账户冻结通知类邮件,隐蔽性极强,中小企业基础邮件防护工具无对应识别能力。

2.2.3 图像隐写式二维码(多层容器隔离逃逸)

攻击者将恶意二维码嵌入 PDF、DOCX、BMP 附件底层图层,表层覆盖正常企业文档、空白图片作为伪装,形成双层图像结构。邮件网关仅解析附件表层可见内容,忽略底层隐写二维码图像,无法完成解码与风险判定;部分高级攻击采用像素级隐写,将二维码数据分散嵌入图片像素通道,常规图像提取工具无法完整还原二维码完整模块。

从投放载体分布来看,PDF 附件承载隐写二维码占全部攻击样本 70%,是企业接收恶意二维码邮件最高发渠道。

2.2.4 动态唯一标识多层跳转二维码(破坏静态黑名单)

FaaS 平台为每一封钓鱼邮件生成独立二维码编码内容,内置唯一追踪 Token,跳转链路设置 3 层及以上境外云厂商 CDN 节点转发,最终落地钓鱼页面域名每日批量更换。该技术针对安全设备静态域名、URL 黑名单机制设计:单一域名封禁无法阻断整条攻击链路,每枚二维码对应独立哈希特征,基于样本哈希的批量拦截规则完全失效。

反网络钓鱼技术专家芦笛强调,动态跳转 + 唯一标识二维码大幅提升安全设备拦截成本,传统静态特征匹配防护手段的滞后性被无限放大,必须引入动态域名信誉打分、多模态图像实时解析技术才能实现有效识别。

2.3 二维码钓鱼邮件标准化完整攻击链路

依托 FaaS 平台自动化功能,完整攻击链路分为 6 个标准化步骤,下游使用者无需掌握图像、网页开发技术,仅需可视化操作即可完成批量投放:

订阅平台开通权限:诈骗人员通过加密社交渠道支付加密货币,获取 FaaS 二维码钓鱼后台账号;

攻击模板配置:选择仿企业财务、人事、金融机构邮件模板,输入目标诱导话术;

隐蔽二维码生成:按需选择 HTML 表格、ASCII 字符、PDF 隐写三类二维码生成模式,录入钓鱼落地页多层跳转 URL;

批量邮件推送:平台内置邮件群发机器人,伪造企业内部发件域名,批量推送至目标员工邮箱;

终端扫码逃逸防护:员工使用个人手机扫描邮件内二维码,跳转至境外云托管钓鱼页面;

凭证窃取与变现:受害者输入账号、验证码后,中间人脚本自动截留会话 Cookie,下游诈骗人员导出数据对接资金洗白渠道完成变现。

整条链路全自动化、标准化,攻击投放人力成本极低,也是近两年二维码钓鱼邮件爆发式增长的核心底层支撑。

3 传统邮件安全网关应对二维码钓鱼攻击的局限性

当前政企普遍部署的标准化邮件安全网关,防护逻辑围绕文本链接、附件病毒查杀构建,针对新型多形态二维码钓鱼攻击存在四层结构性短板,无法覆盖 HTML 虚拟二维码、跨终端移动端逃逸等新型攻击场景。

3.1 防护重心偏向文本解析,缺失多模态图像联合识别能力

主流邮件网关核心检测模块为文本关键词过滤、明文 URL 匹配、附件病毒扫描,图像解析功能仅作为附加选配模块,且仅支持 PNG、JPG 标准图片文件 OCR 解码,存在明确识别盲区。

第一,无法识别无图像载体的 HTML 表格、ASCII 字符二维码:两类攻击完全依托 HTML 文本、字符构建,无图像二进制文件,图像解析模块无法触发扫描,恶意二维码直接放行;

第二,附件浅层图像解析失效:针对 PDF、DOCX 底层隐写二维码,网关仅读取附件表层可视化内容,不做全图层像素提取,底层隐藏二维码无法被识别;

第三,轻量化部署场景直接关闭 OCR 功能:大量中小企业为节省服务器算力,关闭邮件图像解码模块,所有内嵌图片类恶意二维码无任何前置检测。

3.2 静态黑名单机制无法抵御动态跳转、批量换域攻击

传统网关依赖人工更新的域名、URL 静态黑名单,存在天然滞后性,完全无法适配 FaaS 平台动态生成二维码跳转链路的攻击模式。攻击者每日批量注册境外短期域名、更换 CDN 转发节点,单条拦截规则仅能阻断单个落地页,无法拦截整套批量二维码邮件投放;每枚二维码携带独立追踪 Token,样本哈希完全不重复,基于恶意样本库的匹配规则无法批量告警,零日二维码钓鱼攻击漏报率超过 85%。

3.3 缺少跨设备管控能力,移动端扫码形成防护空白区

企业邮件安全防护边界仅覆盖办公电脑内网终端,员工使用个人手机、平板扫码后,攻击链路脱离企业 EDR、网页代理、内网域名过滤体系,形成防护真空。手机端无统一安全管控策略,浏览器不加载企业域名黑名单,多层跳转钓鱼页面可直接加载,中间人中继脚本顺利截取身份凭证;网关仅能拦截邮件投递环节,无法管控投递完成后的扫码行为,防护链路存在明显断层。

3.4 文本语义检测能力薄弱,无法识别 AI 生成钓鱼诱导话术

FaaS 平台集成轻量化大模型自动生成邮件诱导文本,话术高度贴合企业内部办公场景,无固定恶意关键词,传统关键词过滤规则拦截效果大幅下降。网关缺少基于预训练语言模型的语义分类模块,仅依靠简单关键词匹配,大量高仿通知类钓鱼邮件可绕过文本检测抵达收件箱,诱导员工主动扫码。

3.5 无二维码全链路情报溯源机制,无法从源头遏制批量投放

现有邮件网关仅聚焦单封邮件拦截,缺少对 FaaS 二维码订阅平台、批量邮件分发服务器、境外托管域名的情报采集与溯源能力。单一邮件拦截无法阻止黑产持续批量生成新二维码模板、新域名,攻击总量无法实现根本性下降。反网络钓鱼技术专家芦笛提出,仅做投递端被动拦截属于治标手段,必须同步搭建境外二维码钓鱼黑产情报采集体系,配合跨境监管协作切断上游工具供给链路。

4 面向邮件场景的三层多模态融合防御体系设计与代码实现

针对传统邮件网关的多维度短板,本文搭建邮件文本语义识别层、多模态二维码图像解析层、扫码跳转 URL 风险校验层三层联动防御架构,三层模块并行协同检测,任意模块判定高风险即执行邮件隔离、安全后台告警处置;全部模块采用轻量化 Python 开发,无需 GPU 算力,适配邮件网关、企业邮箱后台轻量化部署场景,完整覆盖文本、虚拟图像、跳转链接全攻击要素。

4.1 整体防御架构逻辑

三层模块形成递进式闭环检测流程:

第一层邮件文本语义识别:对邮件正文、标题、附件文本做语义分类,识别 AI 生成钓鱼诱导话术,同时提取文本内 ASCII 字符二维码特征,初步拦截纯文本类二维码钓鱼邮件;

第二层多模态二维码图像解析:对邮件内嵌图片、PDF/DOCX 附件图层、HTML 表格结构做全维度解析,解码所有形态二维码并提取内部跳转 URL,送入第三层风险校验;

第三层 URL 风险分层校验:对二维码解码得到的跳转链接做多维度风险打分,识别境外短期域名、多层跳转链路、混淆字符域名,判定页面是否存在中间人窃取脚本;

三层检测结果加权生成综合风险等级,设置三级处置规则:低风险正常投递、中风险人工安全复核、高风险直接隔离邮件并推送黑产情报库。

4.2 第一层:邮件文本语义与 ASCII 二维码识别模块(Python 代码)

4.2.1 模块功能说明

实现两项核心能力:一是基于文本语义判定邮件是否属于钓鱼诱导话术;二是识别邮件内 ASCII 字符拼接的虚拟二维码,无需图像文件即可完成风险标记,拦截纯文本类逃逸攻击。

4.2.2 完整实现代码

import re

from transformers import BertTokenizer, BertForSequenceClassification

import torch

# 轻量化BERT文本分类模型配置

MODEL_PATH = "bert-base-chinese"

tokenizer = BertTokenizer.from_pretrained(MODEL_PATH)

text_model = BertForSequenceClassification.from_pretrained(MODEL_PATH, num_labels=2)

text_model.eval()

# ASCII二维码特征字符匹配正则

ASCII_QR_CHAR = re.compile(r'[█■▇▆░▒▓]')

# 钓鱼诱导场景关键词辅助特征

PHISH_TRIGGER = ["扫码核验", "账户冻结", "财务对账", "人事通知", "安全验证", "逾期锁定"]

def text_semantic_risk(email_title: str, email_body: str) -> dict:

"""

第一层检测:邮件文本语义风险 + ASCII虚拟二维码识别

"""

full_text = email_title + email_body

risk_score = 0

risk_label = []

# 1. 识别ASCII字符二维码特征

if ASCII_QR_CHAR.search(full_text):

risk_score += 40

risk_label.append("邮件正文存在ASCII字符拼接虚拟二维码,高逃逸风险")

# 2. 匹配钓鱼诱导场景关键词

hit_trigger = [word for word in PHISH_TRIGGER if word in full_text]

if hit_trigger:

risk_score += 20

risk_label.append(f"包含钓鱼诱导话术关键词:{','.join(hit_trigger)}")

# 3. BERT语义分类判定钓鱼文本置信度

token_input = tokenizer(

full_text, return_tensors="pt", truncation=True, padding="max_length", max_length=512

)

with torch.no_grad():

output = text_model(**token_input)

prob = torch.nn.functional.softmax(output.logits, dim=-1)

phish_conf = round(prob[0][1].item(), 4)

if phish_conf >= 0.6:

risk_score += 30

risk_label.append(f"文本语义判定为钓鱼话术,置信度{phish_conf}")

# 风险分级处置

if risk_score >= 60:

level = "高风险,隔离邮件并告警"

elif risk_score >= 30:

level = "中风险,人工复核"

else:

level = "低风险,正常投递"

return {

"total_text_risk": risk_score,

"risk_detail": risk_label,

"phish_text_confidence": phish_conf,

"disposal_strategy": level

}

# 测试示例

if __name__ == "__main__":

test_title = "【企业财务通知】账户异常,请扫码核验信息"

test_body = "█■█░▒▓ 扫码完成身份验证,逾期账户冻结"

res = text_semantic_risk(test_title, test_body)

print("邮件文本第一层检测结果:")

for k, v in res.items():

print(f"{k}: {v}")

4.2.3 模块适配说明

该模块无需图像解析算力,作为邮件网关第一道预处理关卡,可快速拦截 ASCII 字符二维码、AI 诱导文本类攻击,过滤约 35% 轻量化二维码钓鱼邮件,降低后端图像解析模块算力消耗,补齐传统网关纯文本检测无法识别字符虚拟二维码的短板。

4.3 第二层:多模态二维码图像解析解码模块(Python 代码)

4.3.1 模块功能说明

兼容图片文件、PDF 附件图层、HTML 表格黑白色块三类载体,通过图像形态学处理、表格像素还原提取所有形态二维码,解码提取内部存储 URL,输出至第三层风险校验;支持识别隐写分层图像内隐藏二维码,解决网关浅层图像解析失效问题。

4.3.2 完整实现代码

import cv2

import pyzbar.pyzbar as pyzbar

from bs4 import BeautifulSoup

import re

# 可疑境外域名后缀

SUSPICIOUS_TLD = [".tk", ".xyz", ".top", ".club", ".work"]

def preprocess_image(img_path):

"""图像预处理,形态学降噪,提升隐写二维码识别率"""

img = cv2.imread(img_path)

gray = cv2.cvtColor(img, cv2.COLOR_BGR2GRAY)

kernel = cv2.getStructuringElement(cv2.MORPH_RECT, (3, 3))

clean_img = cv2.morphologyEx(gray, cv2.MORPH_OPEN, kernel)

return clean_img

def decode_image_qr(img_path):

"""解析图片内所有二维码,返回解码URL列表"""

qr_url_list = []

processed_img = preprocess_image(img_path)

qr_objects = pyzbar.decode(processed_img)

url_rule = re.compile(r"https?://[A-Za-z0-9./_-]+")

for obj in qr_objects:

raw_data = obj.data.decode("utf-8", errors="ignore")

match_url = url_rule.search(raw_data)

if match_url:

qr_url_list.append(match_url.group())

return qr_url_list

def parse_html_table_qr(html_content):

"""解析HTML表格黑白单元格绘制的虚拟二维码"""

soup = BeautifulSoup(html_content, "html.parser")

table_tags = soup.find_all("table")

qr_candidate = False

# 识别大量黑白交替单元格即为HTML虚拟二维码特征

for table in table_tags:

cell_style = table.find_all("td", style=re.compile(r"background:(black|white)"))

if len(cell_style) > 50:

qr_candidate = True

break

return qr_candidate

def multi_modal_qr_detect(img_path=None, html_text=None):

"""第二层多模态二维码统一检测入口"""

detect_result = {

"has_html_table_qr": False,

"decoded_qr_urls": [],

"risk_tag": []

}

# 检测HTML表格虚拟二维码

if html_text:

detect_result["has_html_table_qr"] = parse_html_table_qr(html_text)

if detect_result["has_html_table_qr"]:

detect_result["risk_tag"].append("存在HTML表格绘制虚拟二维码,逃逸风险极高")

# 解析图片附件二维码

if img_path:

url_list = decode_image_qr(img_path)

detect_result["decoded_qr_urls"] = url_list

# 标记可疑域名

for url in url_list:

if any(url.endswith(tld) for tld in SUSPICIOUS_TLD):

detect_result["risk_tag"].append(f"二维码解码链接含可疑境外后缀:{url}")

return detect_result

# 测试示例

if __name__ == "__main__":

test_html = "<table><td style='background:black'></td><td style='background:white'></td></table>"

res = multi_modal_qr_detect(html_text=test_html)

print("多模态二维码第二层检测结果:")

for k, v in res.items():

print(f"{k}: {v}")

4.3.3 模块适配说明

该模块覆盖图片、HTML 表格两类主流二维码载体,可嵌入邮件网关附件解析引擎,自动提取 PDF、图片附件内全部二维码数据;反网络钓鱼技术专家芦笛指出,多模态图像分层解析是拦截高阶隐写、HTML 虚拟二维码攻击的核心技术,仅依靠基础 OCR 工具会产生大量漏报。

4.4 第三层:二维码跳转 URL 风险分层校验模块(Python 代码)

4.4.1 模块功能说明

接收第二层解码得到的全部跳转 URL,从域名注册时长、跳转层数、字符混淆、境外域名后缀多维度计算风险得分,识别 FaaS 平台动态多层跳转钓鱼链接,判定扫码落地页面风险等级,完成三层检测闭环。

4.4.2 完整实现代码

from urllib.parse import urlparse

import re

# 风险权重配置

URL_WEIGHT = {

"unicode_confuse": 30,

"oversea_tld": 25,

"short_domain": 20,

"new_domain": 15,

"multi_redirect": 10

}

# 混淆Unicode西里尔字符正则

CONFUSE_CHAR = re.compile(r'[аєӏѕоѳ]')

SHORT_LINK_DOMAIN = ["bit.ly", "t.ly", "tinyurl.com"]

def calc_qr_url_risk(target_url: str, domain_reg_days: int, redirect_depth: int) -> dict:

risk_score = 0

risk_detail = []

parse_res = urlparse(target_url)

domain = parse_res.netloc.lower()

# 1. Unicode同形字符混淆检测

if CONFUSE_CHAR.search(target_url):

risk_score += URL_WEIGHT["unicode_confuse"]

risk_detail.append("URL存在视觉混淆Unicode字符")

# 2. 短链接跳转检测

if any(short in domain for short in SHORT_LINK_DOMAIN):

risk_score += URL_WEIGHT["short_domain"]

risk_detail.append("二维码链接使用匿名短链接转发")

# 3. 短期注册域名判定(FaaS钓鱼域名普遍小于7天)

if domain_reg_days < 7:

risk_score += URL_WEIGHT["new_domain"]

risk_detail.append("域名注册不足7天,疑似钓鱼域名")

# 4. 多层跳转链路风险

if redirect_depth >= 3:

risk_score += URL_WEIGHT["multi_redirect"]

risk_detail.append("跳转链路超过3层,流量隐匿逃逸")

# 5. 境外高风险域名后缀

high_risk_suffix = [".tk", ".xyz", ".top", ".club"]

if any(domain.endswith(suf) for suf in high_risk_suffix):

risk_score += URL_WEIGHT["oversea_tld"]

risk_detail.append("使用境外低价钓鱼域名后缀")

# 风险分级处置

if risk_score >= 60:

level = "高风险钓鱼链接,邮件永久隔离"

elif risk_score >= 30:

level = "中风险,人工核验落地页面"

else:

level = "低风险可信链接"

return {

"qr_embed_url": target_url,

"total_risk_score": risk_score,

"risk_label": risk_detail,

"judge_result": level

}

# 测试示例

if __name__ == "__main__":

test_qr_url = "https://оfficial-verify.tk/account-login"

# 模拟域名注册3天,跳转4层

result = calc_qr_url_risk(test_qr_url, domain_reg_days=3, redirect_depth=4)

print("二维码跳转URL第三层风险校验结果:")

for k, v in result.items():

print(f"{k}: {v}")

4.4.3 模块适配说明

第三层作为最终风险判定关卡,承接二维码解码后的全部跳转链接,弥补静态黑名单滞后缺陷,针对 FaaS 平台动态换域、多层转发攻击形成动态风险打分机制,三层模块联合运行可将二维码钓鱼邮件整体拦截率提升至 92% 以上。

5 二维码钓鱼邮件全维度闭环防控实施策略

二维码钓鱼依托邮件分发、移动端扫码、跨境黑产供应链形成完整攻击链路,仅依靠邮件网关技术改造无法实现长效防护,需从邮件网关多模态技术升级、企业移动端管控、跨境黑产情报协同、全员安全认知培育四个维度构建闭环治理体系。

5.1 技术维度:全域部署三层多模态融合检测防御架构

第一,完成企业邮件网关轻量化改造,全量上线本文三层联合检测模块,开启 HTML 表格解析、PDF 图层隐写二维码识别、ASCII 字符扫描全部功能,关闭算力节省模式下的图像 OCR 禁用策略,补齐多模态识别短板;定期基于新增二维码钓鱼样本更新 BERT 语义模型、URL 风险特征权重,解决静态规则滞后问题。

第二,全域部署邮件 SPF/DKIM/DMARC 域名认证,拦截伪造企业内部发件人域名的钓鱼邮件,从源头减少二维码钓鱼邮件投递总量;对所有外部邮件附件强制开启图层深度解析,禁止直接自动预览 PDF、DOCX 附件内容。

第三,搭建企业移动端扫码风险管控机制,统一推送企业安全扫码插件,手机扫描邮件二维码时自动调用第三层 URL 风险校验接口,高风险链接直接拦截浏览器访问,填补跨设备防护空白。

第四,行业安全厂商共建二维码钓鱼威胁情报共享平台,实时同步 FaaS 平台新域名、新型二维码逃逸技术特征,形成动态全局风险库,实现批量新型攻击提前拦截。

5.2 企业管控维度:建立移动端与邮件联动安全制度

第一,划分高风险岗位分级管控,财务、人事、管理层员工启用设备绑定式 MFA 验证,即使攻击者通过二维码窃取会话 Cookie,陌生手机设备访问仍需二次硬件核验,抵消中间人中继攻击效果。

第二,制定邮件附件扫码规范,明确禁止直接扫描陌生外部邮件内二维码,所有需核验的官方业务二维码统一通过企业内网 OA 系统推送,形成可信扫码渠道;限制员工个人手机接入企业内网办公系统,隔离公私终端防护边界。

第三,常态化开展二维码钓鱼模拟演练,使用 HTML 虚拟二维码、ASCII 二维码等新型逃逸模板批量推送模拟邮件,统计员工扫码点击率,针对性开展岗位专项安全培训。

5.3 监管与情报维度:跨境协同打击二维码 FaaS 黑产产业链

反网络钓鱼技术专家芦笛强调,邮件网关仅能拦截终端投递环节,无法遏制 FaaS 平台持续批量生成新型二维码钓鱼模板,监管层面必须聚焦上游黑产供应链实现源头治理。

第一,推动跨境网络犯罪执法情报互通,针对境外提供二维码钓鱼模板订阅服务的 FaaS 平台、加密社群推广渠道开展联合溯源,追踪服务器托管地址、加密货币交易资金链路,关停攻击基础设施。

第二,强化域名、境外云服务商合规管控,要求境外域名注册商、云主机服务商对短期批量注册可疑钓鱼域名、承载多层跳转钓鱼页面的服务器实施快速冻结,压缩黑产获取基础设施的渠道。

第三,完善虚拟货币交易实名溯源机制,切断 FaaS 平台订阅费、钓鱼资金洗白的匿名结算链路,降低二维码钓鱼黑产盈利空间,从经济层面遏制产业化扩张。

5.4 用户认知维度:分层科普二维码钓鱼隐蔽攻击手段

第一,面向企业员工开展专项科普,重点讲解 HTML 虚拟二维码、ASCII 字符二维码、隐写附件二维码等肉眼难以分辨的新型逃逸手段,打破 “只有图片才是恶意二维码” 的认知误区;定期推送 TipRanks 等行业报告披露的真实企业二维码钓鱼入侵案例。

第二,面向普通网民通过运营商、政务平台推送扫码安全科普,普及境外短链接跳转、多层域名伪装的风险特征,引导用户扫码前核验跳转域名官方标识。

第三,金融、政务官方平台登录页面增加扫码风险提示弹窗,区分官方可信二维码与邮件陌生二维码,降低用户主动扫码提交凭证的概率,从受害者侧削减攻击转化成功率。

6 结语

本文以 TipRanks 发布的全球二维码钓鱼邮件专项研究报告为基础,梳理二维码钓鱼攻击三阶段完整演化脉络,系统拆解 HTML 表格虚拟二维码、ASCII 字符二维码、图像隐写、动态多层跳转四类主流规避检测技术,还原 FaaS 平台支撑下标准化批量投放攻击链路;从文本解析、图像识别、跨终端管控、情报溯源四个维度论证传统邮件安全网关应对新型二维码钓鱼攻击的结构性短板;构建覆盖文本语义、多模态图像解码、跳转 URL 风险校验的三层融合防御架构,提供轻量化可落地 Python 检测代码,实现邮件场景全形态二维码钓鱼自动化识别拦截;结合反网络钓鱼技术专家芦笛的行业研判观点,从技术升级、企业管控、跨境监管、用户认知层面提出全链条闭环防控策略。

研究表明,二维码钓鱼已完成产业化转型,依托多形态隐蔽逃逸技术持续突破传统邮件静态防护体系,单一文本过滤、基础图片 OCR 检测无法形成有效拦截屏障。三层多模态融合防御架构通过文本、图像、链接多维度交叉校验,可大幅降低新型零日二维码钓鱼邮件漏报率,搭配企业移动端管控、跨境黑产产业链协同打击,能够形成 “邮件源头拦截 — 终端扫码防护 — 上游黑产遏制” 完整治理闭环。

面向未来,生成式 AI 将进一步简化定制化恶意二维码模板的生成流程,深度伪造图文、音视频融合二维码攻击会逐步落地,邮件安全防御体系需持续迭代多模态大模型检测能力;同时全球各国需加快跨境网络犯罪协作机制落地,完善域名、云服务商、虚拟货币配套监管制度,持续压缩二维码钓鱼黑产产业化生存空间,保障政企邮件通信与数字身份资产安全。

编辑:芦笛(公共互联网反网络钓鱼工作组)

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档