中國人民銀行發(fā)布的條碼支付業(yè)務(wù)規(guī)范4月1日起實施�,這一規(guī)范主要針對支付風(fēng)險控制措施較少�、安全性較低的靜態(tài)條碼,明確同一客戶銀行或支付機構(gòu)單日累計交易金額應(yīng)不超過500元��。二維碼掃描技術(shù)為公眾生活提供便利的同時��,也暴露出一些安全隱患�。俗稱“掃一掃”的二維碼支付,有哪些風(fēng)險點?
存安全隱患——
常見李鬼二維碼
稍一疏忽易上當
二維碼掃一掃看起來便利���,可稍一疏忽就會出麻煩�����。尤其是����,二維碼也可能成為一些人非法斂財?shù)那?����。曾騰是廣東省江門市一名大學(xué)生���,他曾在宿舍樓下用手機掃了一輛共享單車上的二維碼�����,掃描后手機自動跳轉(zhuǎn)到一個支付頁面�,要求支付299元押金���。
“對方是個支付賬戶����,當時有點著急,沒有細看就選擇了確認支付�。”曾騰說�����,可支付后他并沒能打開車鎖���,單車軟件也未顯示押金支付成功�����。他這才反應(yīng)過來���,自己可能被騙了,再仔細觀察剛才掃描的那張二維碼����,發(fā)現(xiàn)是一張貼紙,覆蓋了車體本身攜帶的二維碼�����。
“二維碼技術(shù)最初是一種識別訪問技術(shù)����,并不是專門用于電子商務(wù)��,因此在交易過程中缺乏一種能夠評估和鑒別二維碼信息來保護消費者安全的機制�?����!鄙虾=煌ù髮W(xué)網(wǎng)絡(luò)空間安全學(xué)院院長李建華說��,對消費者而言�����,正確鑒別和驗證二維碼的可靠性難度大���,每一張二維碼圖像看似普通,實則包含了復(fù)雜的信息�����,用戶辨認起來很不方便��。
識別難度大——
制作準入門檻低
易攜帶惡意代碼
看似一個簡單的二維碼���,普通公眾卻難以辨認��,二維碼支付為何會存在安全隱患?風(fēng)險點主要集中在哪些方面?
中國人民銀行支付結(jié)算司有關(guān)負責(zé)人說�,二維碼支付流程分為支付指令的生成和處理兩個階段。指令處理階段與傳統(tǒng)的銀行卡���、普通互聯(lián)網(wǎng)支付的流程相同�����。二維碼支付的風(fēng)險點主要集中在指令生成階段的二維碼生成和識別環(huán)節(jié)���。
“技術(shù)問題是存在安全隱患的重要原因?�!鼻迦A大學(xué)數(shù)據(jù)科學(xué)研究院二維碼安全中心副主任沈維說��,“二維碼的碼制有國家標準�,目前我們使用的QR碼是國際標準,也是我國的國家標準�����。技術(shù)上雖然已經(jīng)有了國家標準�����,但二維碼在應(yīng)用上還沒有相應(yīng)的規(guī)范。公開的二維碼無人監(jiān)管�,且支付前的二維碼管理缺失,而監(jiān)管缺位的原因在于缺少技術(shù)手段����。”
“光想著掃碼方便�,根本沒意識到二維碼本身也可能攜帶木馬病毒、釣魚軟件����?����!奔易『蔽錆h的王先生曾在地鐵口看到掃二維碼送濕巾的廣告���,手機掃描后自動跳轉(zhuǎn)到一個軟件下載頁面并開始下載��。當晚他的手機突然收到銀行短信����,稱有一筆近4000元的支出。事后查明�,當天所掃的二維碼帶有惡意扣費病毒。
沈維說����,QR二維碼的碼型是開放的,當前二維碼制作準入門檻低���,任何人都能輕而易舉地制作���。如果有人制作了惡意二維碼,用戶掃碼后接入隱藏在二維碼背后的假鏈接����、假網(wǎng)站,就可以通過網(wǎng)站非法騙取資金����、盜取身份信息等。目前二維碼市場缺少安全技術(shù)手段對手機掃碼進行管控�����,QR碼在應(yīng)用層面處于無人監(jiān)管的狀態(tài)����,并沒有相應(yīng)的技術(shù)跟進����。
中國人民銀行支付結(jié)算司相關(guān)負責(zé)人介紹�,二維碼支付的主要風(fēng)險點包括四個方面。一是二維碼可視化風(fēng)險�����。不法分子易通過手機病毒的方式截屏盜取或欺騙獲取用戶付款碼�,或四處張貼偽造商戶的收款碼,非法獲取資金�����。二是易攜帶惡意代碼的風(fēng)險�����。二維碼不僅可用于支付���,也可用于儲存惡意程序代碼、非法鏈接等內(nèi)容�,真?zhèn)坞y以直觀區(qū)分��。三是信息單向交互的風(fēng)險�����。二維碼支付只能實現(xiàn)發(fā)起方或接收方的單向驗證�����,不法分子若劫持客戶與商戶之間��、商戶與后臺之間的通信網(wǎng)絡(luò)�,截獲并惡意修改訂單等交易信息�,易造成用戶資金損失。四是掃碼設(shè)備安全強度低的風(fēng)險��。二維碼支付對識別設(shè)備要求低�,且這些設(shè)備一般無加密、防拆機等安全功能�,容易被不法分子侵入。
維權(quán)有點難——
支付背后環(huán)節(jié)多
責(zé)任主體難明確
近日��,某私營企業(yè)負責(zé)人陳安在不法分子迷惑下泄露了自己的某支付機構(gòu)付款碼��,對方指示將付款條碼上的數(shù)字發(fā)過去�,之后陳安的支付賬戶立刻被劃走499元���。陳安說,找客服投訴后�,支付機構(gòu)只說后臺審核,如果對方賬戶存在風(fēng)險���,會采取凍結(jié)賬戶的手段���。“但現(xiàn)在幾個月過去了�����,不僅對方賬戶沒有凍結(jié)��,被騙的欠款也沒能要回來����。”
“二維碼犯罪隱蔽性強�、傳染性快,但電子證據(jù)獲存困難��,相關(guān)規(guī)定不健全�����,維權(quán)成本高��。制作和發(fā)布的實施主體和責(zé)任承擔(dān)主體難以明確鎖定�,增加了訴訟的不確定因素?!本熉蓭熓聞?wù)所律師左勝高認為。
一位網(wǎng)絡(luò)安全從業(yè)人員稱�,近年來涉及二維碼的案件很多,其中包括非法獲取公民信息���、詐騙�、盜刷等����。對于像二維碼這樣的新興技術(shù)在多領(lǐng)域的應(yīng)用,相關(guān)監(jiān)督管理部門還未出臺較為有效的規(guī)章和監(jiān)管機制�����。
北京大成律師事務(wù)所律師肖颯認為��,當用戶遭遇二維碼支付安全問題時,應(yīng)該先確認在支付的哪個環(huán)節(jié)產(chǎn)生了問題�����,明確責(zé)任歸屬;其次�,確定相應(yīng)漏洞環(huán)節(jié)的負責(zé)人或負責(zé)機構(gòu),向其提出投訴或舉報�����,由相關(guān)方進行專門處理;若遭遇“非法二維碼”�,無有關(guān)方負責(zé),則可向有關(guān)部門報案或控告�����,根據(jù)其行為侵犯自身權(quán)益的性質(zhì)與程度決定處理方式���?����!澳壳岸S碼支付的發(fā)案率高�,但對于普通用戶來說�,維護自身的權(quán)益確實難度很大���?�!毙わS說���。
中研網(wǎng) 發(fā)現(xiàn)資訊的價值 
研究院 掌握產(chǎn)業(yè)最新情報 
二維碼支付暗藏李鬼 制作準入門檻低易攜帶惡意代碼 
