虛假二維碼需警惕
日前,南京市民劉先生(shēng)在掃描摩拜單車(chē)二維碼時(shí),出現了本不該出現的轉賬提示,于是向警方報案。當地有(yǒu)些(xiē)市民也發現,掃描摩拜單車(chē)上(shàng)的二維碼後,如果不注意很(hěn)可(kě)能錢(qián)就被轉走了。
虛假二維碼騙局并非孤例。在廣東破獲的一起二維碼不法分子将病毒、木馬病毒的虛假二維碼,獲取消費者的手機信息和(hé)密碼,進行(xíng)網絡盜刷。一共作(zuò)案320餘起,獲利90餘萬元。
作(zuò)為(wèi)移動互聯網的入口,二維碼已被廣泛應用于社交媒體(tǐ)、移動支付、産品促銷、應用程序下載等方面。“新華視(shì)點”記者調查發現,由于制(zhì)碼技(jì)術(shù)幾乎零門(mén)檻,木馬程序、扣費軟件等植入二維碼,消費者掃碼被盜刷現象時(shí)有(yǒu)發生(shēng)。
“掃一掃”背後的詐騙陷阱:覆蓋正規碼、木馬植入、遠程複制(zhì)
針對消費者掃碼遭詐騙,摩拜單車(chē)負責人(rén)稱,單車(chē)上(shàng)的正規二維碼都是用釘子釘在車(chē)身上(shàng)的,車(chē)費必須通(tōng)過APP支付。車(chē)身上(shàng)發現的二維碼是後貼上(shàng)去的,覆蓋了原二維碼,用戶掃描的是不法分子的詐騙二維碼。
在廣東,佛山(shān)公安局禅城分局發現一起數(shù)十家(jiā)店(diàn)鋪的收銀櫃台均被張貼虛假二維碼案件。犯罪嫌疑人(rén)更換商家(jiā)收款二維碼,通(tōng)過植入木馬病毒的虛假二維碼,獲取消費者的手機信息和(hé)密碼,進行(xíng)網絡盜刷。一共作(zuò)案320餘起,獲利90餘萬元。
記者調查發現,除了用虛假二維碼覆蓋正規二維碼實施詐騙,還(hái)有(yǒu)不法分子直接誘導用戶掃描帶有(yǒu)木馬病毒的二維碼。比如,浙江就多(duō)次發現不法分子以掃碼得(de)紅包的形式誘導用戶,一旦用戶掃碼後,手機會(huì)感染木馬病毒,各種信息都被竊取了。
此外,有(yǒu)些(xiē)不法分子通(tōng)過拍照、截圖、遠程控制(zhì)等方式獲取用戶付款二維碼,盜刷用戶銀行(xíng)卡。浙江台州微商趙女士就是一個(gè)受害人(rén)。在網絡交易過程中,不法分子以自己支付寶餘額不足為(wèi)借口,提出讓趙女士将付款碼發給自己掃碼付款。收到付款碼截圖後,不法分子随即進行(xíng)複制(zhì),盜刷了趙女士的銀行(xíng)賬戶。
“付款碼相當于銀行(xíng)卡加密碼,不要輕易發給他人(rén)。”專家(jiā)介紹,不法分子隻要獲取了,就可(kě)以進行(xíng)複制(zhì),獲取銀行(xíng)賬戶和(hé)密碼。
“現在我都不敢随便掃碼了,一不小(xiǎo)心就可(kě)能被騙。可(kě)是現在生(shēng)活中要用到二維碼的地方又這麽多(duō),真是讓人(rén)糾結。”杭州市民陳小(xiǎo)姐說。
“以二維碼作(zuò)為(wèi)入口的新型互聯網詐騙案件層出不窮,一些(xiē)不法分子将手機木馬或惡意軟件披上(shàng)二維碼的外衣在移動終端廣泛傳播。由于缺乏相關知識,沒有(yǒu)防範警惕性,消費者個(gè)人(rén)很(hěn)難防範。”浙江省網警總隊有(yǒu)關負責人(rén)說。
專家(jiā)稱制(zhì)碼技(jì)術(shù)門(mén)檻幾乎為(wèi)零,騙子可(kě)輕易制(zhì)“毒碼”
業內(nèi)人(rén)士介紹,二維碼就是一張能存儲信息的擁有(yǒu)特定格式的圖形,能夠在橫向和(hé)縱向兩個(gè)方位同時(shí)表達信息,能在有(yǒu)限的面積內(nèi)表達大(dà)量信息。個(gè)人(rén)名片、網址、付款和(hé)收款信息等都可(kě)以通(tōng)過二維碼圖案展現出來(lái)。
據了解,目前我國廣泛使用的二維碼為(wèi)源于日本的快速響應碼(QR碼),由于當時(shí)國內(nèi)沒有(yǒu)自主知識産權的二維碼,市場(chǎng)幾乎被QR碼占據。QR碼沒有(yǒu)在國內(nèi)申請(qǐng)專利,采取了免費開(kāi)放的市場(chǎng)策略。“這也意味着誰都可(kě)以通(tōng)過網絡下載二維碼生(shēng)成器(qì)。隻需要将發布的內(nèi)容粘貼到二維碼生(shēng)成器(qì)上(shàng),軟件随即生(shēng)成用戶所需的二維碼。”杭州某網絡安全公司工程師(shī)鄭孵說。
記者在網上(shàng)搜索“二維碼生(shēng)成器(qì)”,發現了205萬多(duō)個(gè)搜索結果,大(dà)部分的二維碼生(shēng)成軟件可(kě)以直接在線使用。記者在首頁選定了某一在線二維碼生(shēng)成平台,輸入文字、圖片、郵箱、網址後,瞬間(jiān)就轉換成了二維碼。
“二維碼的制(zhì)作(zuò)生(shēng)成沒有(yǒu)任何門(mén)檻。一些(xiē)不法分子将病毒、木馬程序、扣費軟件等的下載地址編入二維碼,用戶一旦掃描,手機就會(huì)被植入的病毒木馬感染,身份證、銀行(xíng)卡号、支付密碼等私人(rén)信息就會(huì)被盜取。”阿裏安全部資深品牌經理(lǐ)沈傑說。
“任何人(rén)都可(kě)以制(zhì)作(zuò)二維碼,而且生(shēng)成的二維碼沒有(yǒu)辦法溯源,也沒有(yǒu)相關的管理(lǐ)機構提供認證,這給警方偵破二維碼詐騙案帶來(lái)了很(hěn)大(dà)困難。”浙江省網警總隊工程師(shī)介紹。
建立回溯機制(zhì)明(míng)确監管主體(tǐ)
鄭孵介紹,目前,二維碼的生(shēng)産和(hé)流通(tōng)并沒有(yǒu)明(míng)确的主體(tǐ)進行(xíng)統一的管理(lǐ)。雖然一些(xiē)部門(mén)開(kāi)始逐漸意識到二維碼存在的巨大(dà)安全隐患,但(dàn)還(hái)沒有(yǒu)相關法律法規和(hé)具體(tǐ)舉措。
“主管部門(mén)應該使用技(jì)術(shù)手段對二維碼進行(xíng)域名解析,通(tōng)過設立專門(mén)的監管平台對二維碼進行(xíng)檢測,過濾不良信息。”浙江工業大(dà)學計(jì)算(suàn)機科學與技(jì)術(shù)學院陳鐵(tiě)明(míng)教授建議,“可(kě)以考慮建立二維碼中心數(shù)據庫,對市面上(shàng)流通(tōng)的二維碼進行(xíng)備案登記,将所有(yǒu)二維碼數(shù)據統一存放在一個(gè)中心數(shù)據庫,實現對二維碼生(shēng)成流通(tōng)環節的有(yǒu)效追溯。”
“在管理(lǐ)層面上(shàng),有(yǒu)關部門(mén)應該對二維碼的發布內(nèi)容進行(xíng)備案審查,對二維碼的發布平台進行(xíng)資質鑒定,對二維碼的發布者進行(xíng)實名登記,形成一整套完善的責任追溯機制(zhì)。”陳鐵(tiě)明(míng)說。
浙江工業大(dà)學網絡空(kōng)間(jiān)安全協會(huì)研究人(rén)員鄭毓波認為(wèi),二維碼使用企業應該加強相關的防護。據了解,目前微信和(hé)支付寶已經在軟件裏加強了安全監控保護,确保用戶掃碼安全。支付寶公司近日宣布,從2月20日起,支付寶付款碼将專碼專用,隻用于線下付款。這就避免了一些(xiē)不法分子利用二維碼付款的機制(zhì)實施轉賬詐騙。沈傑告訴記者,支付寶已經自帶網址檢測功能,用于判定掃描的二維碼是否存在惡意鏈接。如果發現安全隐患,系統會(huì)發出安全提示,讓用戶判定是否需要進入跳(tiào)轉界面。
業內(nèi)專家(jiā)表示,用戶也需要提高(gāo)掃碼安全意識。“不少(shǎo)人(rén)有(yǒu)不良的掃描習慣,看見二維碼就掃,很(hěn)容易落入不法分子的陷阱。”鄭毓波說,應該加大(dà)知識普及,讓大(dà)家(jiā)了解二維碼編碼原理(lǐ)和(hé)二維碼發布機制(zhì),不随意掃描來(lái)曆不明(míng)的二維碼,保護自己的信息安全。
