http://p1.qhimg.com/t01c481937582268f4b.png

译者:WisFree

预估稿费:200RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


二维码出了什么问题?

通过将合法商家的收款二维码替换成恶意二维码,诈骗分子们不仅可以访问到顾客的个人数据,有时甚至还能够成功盗取他们银行账号里的人民币。

二维码的中间有一个小型框框,这个框框显示一般是收款人的头像,而框框的周围都是一些随机生成的黑色矩形图像以及白色背景。这种在国内几乎随处可见的二维码乍看貌似无害,但如果你随意扫描了一个二维码,那么你就得当心你口袋里的人民币了。因为这种看似无害的条形码中很可能隐藏了恶意软件或恶意代码,而它们随时准备着入侵你的智能手机并榨干你银行账户中的每一分钱。


二维码和诈骗分子怎么扯到了一起?

近期,国内出现了一系列涉及到二维码或快速响应码的诈骗事件,而这些诈骗活动已经引起了民众对移动端电子支付安全问题的关注,而广大消费者也开始通过各种渠道要求有关部门采取更多的安全措施来保护消费者的合法权益。

根据《南方都市报》的报道,在我国广东省所发生的二维码欺诈案件其涉案金额已经达到了九千万元人民币之多(大约一千三百万美元),

另据《中国新闻网》的报道,广东省佛山市警方近日逮捕了一名涉嫌二维码欺诈的犯罪嫌疑人,而这名犯罪嫌疑人涉嫌通过伪造商家的收款二维码谋取了非法收益将近九十多万元。据警方透露,这名犯罪嫌疑人用一个嵌入了木马病毒的二维码替换掉了商家原有的收款二维码,并通过木马病毒窃取了大量消费者的个人信息。


共享单车也难逃“魔掌”

除此之外,近期在国内掀起绿色出行狂潮的共享单车产业也让诈骗分子们获益颇丰。所谓共享单车,意思就是广大市民只需要扫描一下单车座椅下的二维码,就可以解锁这架单车了(最终根据骑行时间或距离进行结算)。而犯罪分子通过将自行车上用来解锁的原始二维码替换成了恶意二维码,这样一来,用户就很有可能将自己最终的骑行费用转到诈骗分子的银行账号中。

http://p4.qhimg.com/t01f7ee352d636e0f96.png

犯罪分子盯上了移动支付领域

近些年来移动支付的概念在中国得到了大范围普及,而我们距离实现“无现金社会”已经不远了。其中的二维码就是一个很好的证明,消费者只需要用智能手机扫描一下这种“机器可读”的图片,就可以轻松完成转账或支付。但不幸的是,这种以牺牲一定程度的安全性为代价换取来的便捷性也使得这种类型的犯罪行为得到了迅猛发展。

二维码最早由Denso Wave公司(日本最大的汽车零部件制造商)于1994年发明,他们当初发明二维码的目的是为了在汽车的装配过程中对零部件和汽车进行快速扫描、记录和跟踪。随后,二维码也从工厂中“走”了出来,并衍生出了更加广泛的应用场景,从消费行业到社交媒体再到制造业,几乎各行各业现在都会使用到二维码,而且现在到日本旅游的游客也会得到一个嵌入了自己身份信息的二维码,他们可以将其当作简单的临时身份证来使用。

但不幸的是,对于那些毫无戒心的消费者和执法部门来说,二维码是可以被不法分子轻易修改和利用的,而且普通人也无法通过肉眼来分辨一个二维码是好还是坏。所以二维码的这两种特性也使得犯罪活动更加容易实现了。

目前总共有超过四分之一的木马和恶意软件都是通过二维码来传播的

在今年三月份的全国人民代表大会上,语音识别云服务提供商科大讯飞的董事长刘庆峰在国家网络安全法的讨论过程中还建议监管机构加大对二维码的监管力度。刘庆峰表示:“目前,总共有超过四分之一的木马和恶意软件都是通过二维码来传播的。二维码的制作难度和成本非常低,所以犯罪分子可以轻松地将木马和病毒植入到二维码中。另一方面,广大消费者无法通过肉眼验证二维码的合法性,因此,如果诈骗分子用伪造的二维码替换了原本合法的二维码,那么消费者就很容易上当受骗了。”

http://p1.qhimg.com/t019efd01c62ffa5d96.png

虽然二维码的出现极大地方便了民众的购物和支付,但近期出现的一系列诈骗事件也打击了消费者使用这项技术的积极性。让检测和监管更加困难的是,很多网站现在都提供了自助二维码生成服务,因此任何人(包括诈骗分子和完全不懂技术的人)都可以轻松地制作出二维码。

刘庆峰补充道:“监管部门应该引入’实名制’来监督二维码的制作和使用,任何需要制作二维码的人都需要通过真实身份信息来进行注册登记。除此之外,有关部门还应该对那些涉及二维码的违法行为加大惩罚力度。”


二维码的安全问题一直都是国内的一大难题

早在2014年的三月份,阿里巴巴和腾讯就计划推出“虚拟信用卡”(一种新型移动支付技术)了,即通过二维码来代替传统的的信用卡

http://p9.qhimg.com/t016ba68a9adf5e3c75.png

支付宝表示,他们现在的技术不仅能够识别出目标二维码是否为支付宝系统生成的,而且还可以判断该二维码是否嵌入了恶意链接。当系统监测到了安全风险时,它将会向用户发送提示信息,并需要用户的进一步确认操作才可以完成转账支付。

腾讯公司也表示,维护用户的安全是腾讯的首要任务之一,腾讯将采取进一步措施来保障用户在使用二维码过程中的安全,尤其是那些涉及到微信支付的相关功能。

下图显示的是二维码的“解剖图”:

http://p7.qhimg.com/t01ddc0bf1c2834646d.png

北京大学汇丰商学院的助理院长欧阳良宜认为,像支付宝和微信支付这样的国内第三方支付服务其实并不是导致二维码欺诈事件发生的根本原因,因为很多受害者其实一开始使用的都是其他移动端App来扫描那些伪造的二维码。欧阳良宜说到:“第三方支付服务提供商有义务对用户进行一定程度的安全教育,哪怕只是出于自身业务发展的考虑,这些提供商也应该提醒用户要保持警惕,否则这些欺诈分子不仅会给用户带来直接的经济损失,而且也会让厂商的长期利益受到损害。”

文章原文链接:https://www.anquanke.com/post/id/86294