2026年你必须了解的令人震惊的二维码钓鱼统计数据

通过: Ashley P.更新: May 06, 2026

这份关于QR码钓鱼统计数据的汇编揭示了quishing对企业和个人造成的令人担忧的安全威胁。

没有人能否认使用快速响应（QR）码的好处，尽管我们不愿承认，网络犯罪分子也知道这一点。

但是，如果您熟悉网络安全威胁并相应采取安全措施，就可以阻止它们的成功。

考虑到这一点，我们已经收集了关于二维码钓鱼的关键事实和趋势，每个人都应该在2026年保持警惕。

学习这些统计数据所表明的内容，真实案例，您可以采取的行动，以及帮助您创建防伪二维码的最佳二维码生成器。

什么让quishing（QR码钓鱼）如此危险？
最新的QR码钓鱼统计数据和趋势
使用QR码的真实钓鱼代码示例
QR码安全吗？
避免鱼叉式攻击的方法
使用QR TIGER创建安全可靠的QR码

什么让quishing（QR码钓鱼）如此危险？

网络钓鱼是一种恶意的网络攻击，旨在窃取个人信息，如在线用户名、密码，甚至金融信息，以进行不法用途。

这种攻击依赖欺骗，使受害者自愿但不知情地提供这些细节。

今天，这些网络犯罪分子出现了一种新技术：quishing。

Quishing 是行为的 使用QR码进行网络钓鱼 二维码是一种人们可以使用智能手机轻松扫描的二维条形码。

QR码会危险吗？完全不会。然而，取决于创建者的动机，其中嵌入的链接或内容可能对他人有害。

这也更具挑战性。二维码诈骗可以通过电子邮件传播，将接收者引导至一个包含二维码的文档，该二维码会重定向到一个恶意网站，最终窃取他们的信息。

这就是为什么二维码欺诈如此危险。不良分子可以简单地用假二维码覆盖合法的二维码，甚至可能针对焦虑情绪，比如贷款会影响信用评级诱使接收者扫描它们。

根据Hoxhunt，钓鱼事件每年增长25%。

最新的QR码钓鱼统计数据和趋势

QR码是分享信息的实用工具，但是像quishing这样的网络攻击，恶意QR码严重威胁普通人。

对于企业而言，网络钓鱼是一个主要关注的问题，可能会花费他们数千甚至数百万美元来解决。根据IBM的数据，由于二维码网络钓鱼造成的数据泄露平均成本为445万美元。

如果你想避免成为目标，重要的是熟悉网络安全了解这些攻击通常是如何展开的。

让我们来看一下最新的统计数据来证明这一点。

Quishing是2026年初增长最快的攻击向量

2026年第一季度，微软威胁情报团队和微软Defender安全研究团队发现，钓鱼邮件占总邮件活动的78％，钓鱼二维码的恶意使用有所增加。

在一月份，有760万次攻击使用QR码来篡改电子邮件。这个数字在三月份会增长到1870万次，标志着使用量增加了146%。

许多这些QR码都是在附加到电子邮件中的文件中发现的。根据数据，1月份带附件的电子邮件中，65%使用PDF文件传送恶意QR码。另一方面，DOC和DOCX文件在同一月份的钓鱼邮件中使用率为31%。

这些数字将在三月份发生变化，带有QR码的PDF文件的使用量增加了70％，而DOC和DOCX文件的使用量下降了24％。

攻击者还采取了将QR码直接附加到电子邮件正文中的方法，这种方法在三月份增加了336%。然而，数据还显示，这种向量仅占所有检测到的钓鱼尝试的5%。

当前电子邮件安全系统中的quishing尝试激增突显了一个挑战。虽然这些系统在捕捉文本和链接威胁方面很有效，但攻击者意识到它们在检测基于图像的内容（如QR码）中的钓鱼链接方面并不可靠。

QR码钓鱼攻击激增至51%

根据ReliaQuest的一项研究，2023年9月QR码钓鱼攻击增加了51%。与2023年1月至8月的累计数字相比，这是一个显著增加。

此外，观察到的12%的quishing事件涉及将QR码隐藏在附加到电子邮件中的PDF或JPEG文件中。

这些攻击能够绕过电子邮件过滤器，因为恶意电子邮件通常在消息正文中没有可点击的元素，而过滤器通常允许。

2023年的3个月内发生了8000多起网络钓鱼事件。

强调网络犯罪分子和骗子对QR码的依赖，Keepnet发现在2023年的3个月内报告了8,878起钓鱼事件。

观察从六月到八月，第一个月是趋势达到峰值的时候，共报告了5,063例病例。

几乎 2% 的所有扫描的二维码都是恶意的

Keepnet最近的分析显示，接近2%的所有扫描的QR码被认为是恶意的。这包括钓鱼QR码以及嵌有恶意软件和病毒链接的QR码。

问问自己，“有多少个二维码是可能创建的？”也许你会想到一个以百万计的数字。事实远远超过这个数字，以至于这个数字无法在计算器中显示。

我们甚至还远远没有达到那个数字，所以在整体规划中，2% 是微不足道的。

仍然，效果恶意二维码这种形式的条形码变得越来越受欢迎，我们也可以预期这个数字会随之增长。

只有36%的QR码钓鱼事件被准确识别并报告

尽管最新的QR码钓鱼统计数据显示了惊人的钓鱼事件数量，但报告称只有36%的事件被准确识别并报告。

这种低检测和报告率是安全方面的一个漏洞，任何公司都应该解决。

26%的网络钓鱼活动使用嵌入二维码中的恶意链接

有不同类型的网络钓鱼攻击，但最流行的方法是通过电子邮件。根据Keepnet提供的更多数据，电子邮件网络钓鱼活动中26%的恶意链接嵌入在二维码中。

有这么多链接嵌入二维码，很明显恶意行为者正在利用它们的有效性对他人造成伤害。

这得到了2023年quishing事件增加587%的支持。在这段时间内，22%的网络钓鱼攻击使用了QR码。

五十万封带有钓鱼二维码的电子邮件嵌入在PDF文档中

这一惊人的发现是由悍鱼威胁情报研究人员发现的。PDF文件通常只有一页或两页，电子邮件本身没有其他外部链接或嵌入式文档。

近90%的QR码攻击旨在窃取登录信息和其他敏感数据。

虽然有许多用QR码造成伤害的创意方式，但Keepnet表示大约89.3%的检测到的攻击是为了窃取个人数据。

这可能是因为QR码易于使用和方便。许多人可能会忘记在被重定向之前检查链接。

大多数QR码攻击都是钓鱼尝试，这突显了对QR码安全性的更多知识和意识以及建立改进的安全措施的需求。

在线银行页面也容易受到网络钓鱼攻击的威胁

到2025年，全球使用二维码支付的支出预计将超过3万亿美元，这意味着我们可以预期使用二维码支付的欺诈尝试将会增加。

这一点得到了同一项ReliaQuest研究的支持，该研究发现18%的网络钓鱼事件涉及盗贼利用在线银行页面窃取信息。

如果您在实体店和在线商店使用QR码付款，请检查QR码是否有任何篡改迹象。如果有选择的话，可以要求商店直接提供他们的账号和账户持有人的全名，以确保交易安全。

商业高管遭遇网络钓鱼攻击的次数比员工多42倍

根据Abnormal Security的2023年数据，高管被钓鱼邮件攻击的可能性是员工的42倍。

这告诉我们，网络犯罪分子知道，瞄准高管可以让他们获得敏感和有利可图的信息，并在企业内部获得很大的权力。

这也意味着组织的安全可能存在漏洞，高管应该找到并修复。

微软和Adobe是被冒充以进行网络钓鱼的品牌之一

大黄鱼威胁情报研究人员还发现，在分析的大多数事件中，网络犯罪分子冒充了知名公司，如微软和Adobe。

超过一半的攻击涉及冒充微软。攻击者模仿该公司的品牌，使用其标志、字体和免责声明。

其他事件涉及骗子冒充受害者目前公司的人力资源部门。

27%的网络钓鱼攻击是与多因素身份验证（MFA）相关的欺诈通知

多因素身份验证可能是保护数字身份的黄金标准，但一次点击电子邮件并扫描欺诈性MFA通知的二维码的错误就会让攻击者绕过这种保护。

根据Abnormal的说法，有27%的quishing尝试使用虚假的MFA警报来欺骗用户扫描QR码进行重新认证。

56% 的欺诈邮件涉及微软双因素认证（2FA）重置

根据2023年9月ReliaQuest的一项研究，最流行的quishing形式涉及发送电子邮件以重置或启用Microsoft双因素身份验证（2FA）。

这种攻击如此普遍，以至于在一年的时间里占据了超过一半的使用方法。

虚假的双因素认证通知可能对您的安全构成严重威胁。因此，如果您收到类似的不及时邮件，请立即联系微软或其他您订阅的服务提供商。

演员扮演HR和与IT相关的电子邮件

KnowBe4的一份网络钓鱼报告发现，48.6%的与人力资源和信息技术相关的网络钓鱼邮件对专业人士最具致命性。

大多数模仿人力资源和管理员的电子邮件使用二维码。

例如，威胁行为者使用它们引导收件人紧急签署文件，邀请他们参加Zoom会议，或下载文件进行政策审查。

包含恶意链接的QR码可能导致网络攻击，如商业电子邮件欺诈（BEC）、系统入侵和勒索软件。

能源部门收到29%的钓鱼邮件，而零售行业仍然是最容易受到攻击的行业。

任何行业都可能面临网络攻击的风险，但有两个行业似乎是经常被攻击的目标。

第一个是能源行业。根据数据，能源部门收到了超过1,000封恶意软件感染的网络钓鱼邮件中的29%。

第二个容易受到钓鱼攻击的行业是零售业。分析显示，这个行业的漏报率最高，意味着零售员工经常无法检测和报告恶意二维码给当局。

其他经常成为网络钓鱼攻击目标的行业包括制造业、保险业、科技行业和金融服务业。

这些行业发生的大量事件表明，针对它们的攻击对许多网络犯罪分子来说是赚钱的。

使用QR码的真实钓鱼代码示例

尽管检测和报告率较低，仍然有数千起事件被发现。然而，不了解这些诈骗是如何发生的只会帮助罪犯从无辜受害者那里获取更多个人信息。

我们已经收集了一些主要的二维码钓鱼的例子，你可以从中学习，避免在自己遇到时受骗。

旧金山的假停车罚单

2023年第二季度，旧金山市民收到了他们车辆的停车罚单。

这些门票上有一个QR码，将扫描仪引导到旧金山市交通局（SFMTA）的页面，司机可以立即支付罚款。

不幸的是，旧金山交通局没有以这种方式使用QR码。

骗子复制了旧金山市交通局的官方网站，使假网站看起来合法。

尽管该机构无法确认他们收到的报告数量，但他们确实敦促司机通过在官方网站上查询来确认罚单的真实性。

茶店感染恶意软件的二维码

新加坡发生了一起利用二维码的钓鱼诈骗案，一名60岁的女性在填写假在线调查后损失了2万美元。

根据受害者的说法，这项调查本应是为了在当地一家珍珠奶茶店免费领取一杯奶茶。代码被贴在店铺的玻璃窗上，使其看起来像是来自该店铺本身的促销活动。

这种骗局的独特之处在于扫描二维码后会在手机上下载第三方应用程序。该应用程序将请求访问手机的麦克风和摄像头。

恶意应用还要求访问Android辅助功能服务，这是专门帮助残障用户的Android应用程序。访问此应用程序允许骗子查看和控制受害者的屏幕。

根据华侨银行反欺诈部门负责人比弗·蔡先生的说法，诈骗者会等待受害者使用其手机银行应用程序，并记录其登录凭据和密码。

有了这些信息，骗子只需在合适的时机控制手机并将钱转出受害者的账户。

华盛顿大学用于窃取凭证的QR码

2023年9月，华盛顿大学圣路易斯分校（WUSTL）的学生和教职员工成为网络犯罪分子利用钓鱼二维码的目标。

根据一篇博客文章，钓鱼活动使用带有恶意QR码附件的电子邮件。扫描时，QR码会将社区成员引导至一个虚假的WUSTL Key登录页面。

但是骗子如何说服用户扫描代码呢？通过让他们认为如果不这样做，他们的账户将被终止。

因为看起来像是官方邮件，所以很容易通过扫描代码来欺骗毫无戒心的WUSTL教职员工和学生保留他们的账户。

幸运的是，大学的信息安全团队通知了社区有关诈骗的信息，防止更多人上当受骗。

在英格兰的提赛德，恶意二维码覆盖了一个合法的二维码。

同年11月，在英格兰的蒂赛德地区的索纳比车站也出现了另一个钓鱼代码示例。就像茶店调查二维码一样，这导致至少有一名受害者损失了数千美元的辛苦钱。

在车站停车场，QR码被放置在一个真实的QR码上。当这位受害者，一位希望保持匿名的71岁女士扫描其中一个时假二维码她在支付停车费时不小心向诈骗者提供了她的银行信息。

她的银行阻止了她的交易。不幸的是，犯罪分子冒充银行工作人员，说服她贷款7500英镑。

之后，他们更改了她的银行信息，订购了新卡，累积了可能导致受害者损失总额为13,000英镑的债务，并设置了一个在线银行账户。

根据VirginMoney的说法，受害者的贷款最终将被注销，而所有的欺诈交易将被退款。

虚假的微软双因素认证到期邮件二维码

这种骗局是能源行业如何成为quishing攻击目标的一个典型例子。

在 Teesside 假二维码事件发生的同一个月，微软向一家工业和能源行业的公司发送了一封电子邮件。该电子邮件指出收件人的双因素认证 (2FA) 即将到期。

根据邮件内容，续订这项安全措施需要扫描附加的QR码。由于微软不会发送这类邮件，很明显这封邮件是用来获取公司凭据的。

员工们通过在文本中发现的各种语法错误，也很明显地意识到这封电子邮件的欺诈性质。即使是带有徽标集成的QR码生成器也无法挽救这一点。

非法的DocuSign QR码

DocuSign是电子签名领域的第一平台。不幸的是，这也使它成为网络犯罪分子的首选，特别是那些喜欢利用它进行网络钓鱼诈骗的人。

当恶意行为者模仿DocuSign的平台发起网络钓鱼攻击时，他们通常会复制公司的官方通信，使其欺诈性电子邮件看起来更真实。

DocuSign的电子邮件可以定制以适应使用其服务的品牌，这样就更容易掩盖欺诈者的真实意图。

QR码可以通过“授予”访问需要签署的文件来进一步欺骗。事实上，QR码会将扫描器发送到一个恶意网站，该网站会捕获输入的任何个人信息。

这种方法可能严重影响人们对二维码的信任，让他们产生疑问：“二维码安全吗？”

新加坡的恶意OneService Lite QR码

2023年初，新加坡市政服务办公室（MSO）开始收到关于伪造QR码的报告，这些QR码模仿了合法的OneService Lite QR码。

OneService是新加坡政府推出的一个平台，帮助市民将他们的反馈提交到一个统一的门户。这简化了反馈过程，因为关注的市民不需要查找要联系哪个机构或市镇议会。

不幸的是，这个假的二维码会把人们带到一个反馈表格，他们必须提交个人信息。

这促使市政服务办公室对此事展开调查。他们和各镇市议会也启动了对每个OneService Lite二维码的检查，并建议公众在提交任何信息之前验证二维码的网址。

QR码安全吗？

所有这些统计数据和关于诈骗的真实案例，很容易让人认为二维码太危险了。但事实恰恰相反。

虽然QR码可能会提供访问恶意链接的途径，但它们不会伤害人。就像一扇门一样，它们的唯一目的是让你进入，即使你要进入的“房间”可能是危险的。

随着一个动态二维码生成器在线上，您可以保证安全可靠的二维码。最好的二维码通常使用最先进的安全工具，比如双因素认证、内部审计和全天候监控。

如何安全的二维码通过使用另一个名为密码保护的动态功能来确保安全。动态QR码更先进，它们带有密码。

如果您知道的密码不起作用，您将无法访问QR码内容。对于假QR码，这将保护您安全。

QR码扫描器还会显示嵌入在QR码中的链接预览，这是另一层安全性，可以帮助您避免恶意攻击。

要识别安全链接，请在预览时寻找“锁”符号。这个符号表示链接是加密由安全套接字层（SSL）认证保护。

如何避免钓鱼攻击

为了避免成为quishing攻击的受害者，在扫描QR码之前请记住以下事项：

避免扫描随机或可疑区域的QR码。
如果你在公共区域，请检查二维码是否被篡改。
寻找电子邮件中诈骗的常见指标，如带有二维码的电子邮件（语法错误、拼写错误、模糊图像）
如果二维码要求提供敏感信息，请考虑是否有必要获取该二维码应该提供给您的内容。
对于管理财务的人来说，理解预算的重要性是至关重要的，您可以找到有用的预算技巧帮助应对财务挑战。
扫描二维码后，始终检查相机或二维码扫描器显示的URL地址。如果链接看起来可疑，请不要访问。

使用QR TIGER创建安全可靠的QR码

如果您考虑在个人或职业生活中使用QR码，您应始终确保生成的码是安全的。

我们已经讨论过如何做了。接下来你需要做的是找到一个安全、可靠、值得信赖的二维码平台。

QR TIGER的系统符合GDPR和CCPA法规以及ISO-27001中的安全标准，为您提供安全、可编辑和可追踪的二维码。

我们还提供一系列其他功能：为您的QR码提供密码保护以及为您的账户提供双因素认证。有了这些，您可以放心地相信我们保障您的扫描安全。

凭借关键的QR码钓鱼统计数据和示例，您的QR码将安全可靠，受到所有人的信任。