網(wǎng)站二維碼
掃一掃,錢包咋就被人“撬”?
中國人民銀行發(fā)布的條碼支付業(yè)務(wù)規(guī)范4月1日起實施,這一規(guī)范主要針對支付風險控制措施較少、安全性較低的靜態(tài)條碼,明確同一客戶銀行或支付機構(gòu)單日累計交易金額應不超過500元。二維碼掃描技術(shù)為公眾生活提供便利的同時,也暴露出一些安全隱患。俗稱“掃一掃”的二維碼支付,有哪些風險點?
存安全隱患——
常見李鬼二維碼
稍一疏忽易上當
二維碼掃一掃看起來便利,可稍一疏忽就會出麻煩。尤其是,二維碼也可能成為一些人非法斂財?shù)那馈Tv是廣東省江門市一名大學生,他曾在宿舍樓下用手機掃了一輛共享單車上的二維碼,掃描后手機自動跳轉(zhuǎn)到一個支付頁面,要求支付299元押金。
“對方是個支付賬戶,當時有點著急,沒有細看就選擇了確認支付?!痹v說,可支付后他并沒能打開車鎖,單車軟件也未顯示押金支付成功。他這才反應過來,自己可能被騙了,再仔細觀察剛才掃描的那張二維碼,發(fā)現(xiàn)是一張貼紙,覆蓋了車體本身攜帶的二維碼。
“二維碼技術(shù)最初是一種識別訪問技術(shù),并不是專門用于電子商務(wù),因此在交易過程中缺乏一種能夠評估和鑒別二維碼信息來保護消費者安全的機制。”上海交通大學網(wǎng)絡(luò)空間安全學院院長李建華說,對消費者而言,正確鑒別和驗證二維碼的可靠性難度大,每一張二維碼圖像看似普通,實則包含了復雜的信息,用戶辨認起來很不方便。
識別難度大——
制作準入門檻低
易攜帶惡意代碼
看似一個簡單的二維碼,普通公眾卻難以辨認,二維碼支付為何會存在安全隱患?風險點主要集中在哪些方面?
中國人民銀行支付結(jié)算司有關(guān)負責人說,二維碼支付流程分為支付指令的生成和處理兩個階段。指令處理階段與傳統(tǒng)的銀行卡、普通互聯(lián)網(wǎng)支付的流程相同。二維碼支付的風險點主要集中在指令生成階段的二維碼生成和識別環(huán)節(jié)。
“技術(shù)問題是存在安全隱患的重要原因?!鼻迦A大學數(shù)據(jù)科學研究院二維碼安全中心副主任沈維說,“二維碼的碼制有國家標準,目前我們使用的QR碼是國際標準,也是我國的國家標準。技術(shù)上雖然已經(jīng)有了國家標準,但二維碼在應用上還沒有相應的規(guī)范。公開的二維碼無人監(jiān)管,且支付前的二維碼管理缺失,而監(jiān)管缺位的原因在于缺少技術(shù)手段。”
“光想著掃碼方便,根本沒意識到二維碼本身也可能攜帶木馬病毒、釣魚軟件?!奔易『蔽錆h的王先生曾在地鐵口看到掃二維碼送濕巾的廣告,手機掃描后自動跳轉(zhuǎn)到一個軟件下載頁面并開始下載。當晚他的手機突然收到銀行短信,稱有一筆近4000元的支出。事后查明,當天所掃的二維碼帶有惡意扣費病毒。