轻易制“毒码”技术门槛低 市民扫码莫忘风险
陌生人相见,扫描二维码即可添加名片;商店 购物 ,扫描二维码瞬间完成支付;共享单车,一键扫描即可解锁骑走;家庭水费电费煤气费,也可凭单据扫码支付而免去来回奔波……作为移动互联网的入口,二维码已被广泛应用于社交媒体、移动支付、产品促销、应用程序下载等各个方面,给人们工作 生活 带来方便。
与此同时,二维码伴生的风险也不可小觑:共享单车二维码被“偷梁换柱”;虚假病毒二维码获取私人信息进行网络盗刷;甚至有人冒充交警部门,在车上张贴虚假罚单进行诈骗。消费者扫码被盗刷现象时有发生,二维码骗局令人防不胜防。
“李鬼”二维码,藏匿几多危险
去年12月16日, 合肥 一车主在自家车上看到一张违法停车告知单,无论纸张颜色、抬头、款式还是内容,都与常见的告知单相似,甚至还盖有“瑶海交警大队”的公章。 “我以前也收到过这种单子,会告知车主去某个地方接受处理,这张却没有。 ”车主说,这张单子后面是一个二维码,还有“扫一扫交罚款”的字样,用 微信 扫描二维码,跳转到一个转账页面,系统提醒“向个人用户‘交通部’转账”,金额为200元。
车主随后选择报警,警方判定这是一起利用伪造的违法停车告知单诱骗车主扫码支付的新型诈骗案件。合肥公安局网安支队迅速联系深圳腾讯安全团队快速封冻涉案账号,并与瑶海分局、交警支队成立联合专案组,开展案件侦查工作,最终将2名犯罪嫌疑人抓捕归案,现场缴获伪造的违法停车告知单近1万张。
今年2月4日,有合肥市民反映,在元一时代广场旁有“ofo”共享单车被贴上了私人支付宝二维码,市民扫描二维码后,出现了本不该出现的转账提示。还有市民表示,扫描一辆“摩拜”单车上的二维码后,网页直接跳转到支付页面。 “摩拜”单车负责人称,单车上正规二维码都是用钉子钉在车身,车费必须通过APP支付,而这辆车上发现的二维码是后贴上去的,覆盖了原二维码,用户扫描的是不法分子的诈骗二维码。
有媒体报道,在广东,佛山公安局禅城分局破获一起二维码诈骗案件。犯罪嫌疑人更换数十家商铺的收款二维码,通过植入木马病毒的虚假二维码,获取消费者的手机信息和密码,进行网络盗刷。一共作案320余起,获利90余万元。
除了用虚假二维码覆盖正规二维码实施诈骗,还有不法分子直接诱导用户扫描带有木马病毒的二维码。比如,浙江就多次发现不法分子以扫码得红包的形式诱导用户,一旦用户扫码后,手机会感染木马病毒,各种信息都被窃取。此外,有些不法分子通过拍照、截图、远程控制等方式获取用户付款二维码,盗刷用户 银行 卡。浙江台州微商赵女士就是一位受害人。在网络交易过程中,不法分子以自己支付宝余额不足为借口,提出让赵女士将付款码发给自己扫码付款。收到付款码截图后,不法分子随即进行复制,盗刷了赵女士的银行账户。
“现在我都不敢随便扫码了,一不小心就可能被骗。可是生活中要用到二维码的地方又这么多,真是让人纠结。 ”合肥市民陈小姐说。
轻易制“毒码”,技术门槛太低
业内人士介绍,二维码就是一张能存储信息、拥有特定格式的图形,能够在横向和纵向两个方位同时表达信息,进而在有限的面积内表达大量信息。个人名片、网址、付款和收款信息等都可以通过二维码图案展现出来。
据了解,目前我国广泛使用的二维码为源于日本的快速响应码(QR码),由于当时国内没有自主知识产权的二维码,市场几乎被QR码占据。 QR码没有在国内申请专利,采取了免费开放的市场策略。 “这也意味着谁都可以通过网络下载二维码生成器。只需要将发布的内容粘贴到二维码生成器上,软件随即生成用户所需的二维码。 ”杭州某网络安全公司工程师郑孵说。
记者在搜索网站上搜索关键词“二维码生成器”,发现了294万多个搜索结果,大部分的二维码生成软件可以直接在线使用。记者在首页选定了某一在线二维码生成平台,输入文字、图片、邮箱、网址后,瞬间就转换成了二维码。
“二维码的制作生成没有任何门槛。一些不法分子将病毒、木马程序、扣费软件等的下载地址编入二维码,用户一旦扫描,手机就会被植入的病毒木马感染,身份证、银行卡号、支付密码等私人信息就会被盗取。 ”阿里安全部资深品牌经理沈杰向媒体介绍说。
合肥市公安局网安支队一位民警表示,从技术上来说,任何人都可以制作二维码,而且生成的二维码没有办法溯源,也没有相关的管理机构提供认证,这给警方侦破二维码诈骗案带来了很大困难。
乱象当治理,各方均需努力
目前,二维码的生产和流通并没有明确的主体进行统一管理。虽然一些部门开始逐渐意识到二维码存在的巨大安全隐患,但还没有相关法律法规和具体举措。
“主管部门应该使用技术手段对二维码进行域名解析,通过设立专门的监管平台对二维码进行检测,过滤不良信息。 ”合肥工业大学网络安全专家朱家富建议,“可以考虑建立二维码中心数据库,对市面上流通的二维码进行备案登记,将所有二维码数据统一存放在一个中心数据库,实现对二维码生成流通环节的有效追溯。 ”
朱家富认为,当下一些骗子会玩“高科技”,加之虚假二维码存在认证难的问题,无形中增加了破案难度,但要让消费者不掉入虚假二维码的诈骗陷阱,最有效的途径还是执法部门制定一整套完善的责任追溯机制。同时,还要重拳出击,实行无缝监管,对任何一种诈骗行为做到发现一起、严查一起、曝光一起,让不法分子付出沉重代价。同时,使用企业也应该承担起积极防范责任,告知公众辨别官方真二维码的方式,并根据出现的新情况不断改进防伪技术,抬高技术门槛,增加造假难度和造假成本。
值得关注的是,目前微信和支付宝已经在软件里加强了安全监控保护。比如支付宝公司近日宣布,从2月20日起,支付宝付款码将专码专用,只用于线下付款。而且支付宝已经自带网址检测功能,用于判定扫描的二维码是否存在恶意链接,如果发现安全隐患,系统会发出安全提示,让用户判定是否需要进入跳转界面。这将在一定程度上避免一些不法分子利用二维码付款的机制实施转账诈骗。
另外,专家还提醒消费者提高扫码安全意识,多多了解二维码编码原理和二维码发布机制,不要随意扫描来历不明的二维码,以尽可能保护自己的信息和财产安全。