掃二維碼被盜刷背後:制碼零門檻
日前,南京市民劉先生在掃描摩拜單車二維碼時,出現了本不該出現的轉賬提示,於是向警方報案。當地有些市民也發現,掃描摩拜單車上的二維碼後,如果不注意很可能錢就被轉走了。
作為移動互聯網的入口,二維碼已被廣泛應用於社交媒體、移動支付、産品促銷、應用程式下載等方面。記者調查發現,由於制碼技術幾乎零門檻,不法分子將病毒、木馬程式、扣費軟體等植入二維碼,消費者掃碼被盜刷現象時有發生。
針對消費者掃碼遭詐騙,摩拜單車負責人稱,單車上的正規二維碼都是用釘子釘在車身上的,車費必須通過APP支付。車身上發現的二維碼是後貼上去的,覆蓋了原二維碼,用戶掃描的是不法分子的詐騙二維碼。
在廣東,佛山公安局禪城分局發現一起數十家店舖的收銀櫃檯均被張貼虛假二維碼案件。犯罪嫌疑人更換商家收款二維碼,通過植入木馬病毒的虛假二維碼,獲取消費者的手機信息和密碼,進行網絡盜刷。一共作案320余起,獲利90余萬元。
記者調查發現,除了用虛假二維碼覆蓋正規二維碼實施詐騙,還有不法分子直接誘導用戶掃描帶有木馬病毒的二維碼。比如,浙江就多次發現不法分子以掃碼得紅包的形式誘導用戶,一旦用戶掃碼後,手機會感染木馬病毒,各種信息都被竊取了。
此外,有些不法分子通過拍照、截圖、遠程控制等方式獲取用戶付款二維碼,盜刷用戶銀行卡。浙江台州微商趙女士就是一個受害人。在網絡交易過程中,不法分子以自己支付寶餘額不足為藉口,提出讓趙女士將付款碼發給自己掃碼付款。收到付款碼截圖後,不法分子隨即進行複製,盜刷了趙女士的銀行賬戶。
“以二維碼作為入口的新型互聯網詐騙案件層出不窮,一些不法分子將手機木馬或惡意軟體披上二維碼的外衣在移動終端廣泛傳播。由於缺乏相關知識,沒有防範警惕性,消費者個人很難防範。”浙江省網警總隊有關負責人説。
業內人士介紹,二維碼就是一張能存儲信息的擁有特定格式的圖形,能夠在橫向和縱向兩個方位同時表達信息,能在有限的面積內表達大量信息。個人名片、網址、付款和收款信息等都可以通過二維碼圖案展現出來。
據了解,目前我國廣泛使用的二維碼為源於日本的快速響應碼(QR碼),由於當時國內沒有自主知識産權的二維碼,市場幾乎被QR碼佔據。QR碼沒有在國內申請專利,採取了免費開放的市場策略。“這也意味著誰都可以通過網絡下載二維碼生成器。只需要將發佈的內容粘貼到二維碼生成器上,軟體隨即生成用戶所需的二維碼。”杭州某網絡安全公司工程師鄭孵説。
記者在網上搜索“二維碼生成器”,發現了205萬多個搜索結果,大部分的二維碼生成軟體可以直接在線使用。記者在首頁選定了某一在線二維碼生成平臺,輸入文字、圖片、郵箱、網址後,瞬間就轉換成了二維碼。
“二維碼的製作生成沒有任何門檻。一些不法分子將病毒、木馬程式、扣費軟體等的下載地址編入二維碼,用戶一旦掃描,手機就會被植入的病毒木馬感染,身份證、銀行卡號、支付密碼等私人信息就會被盜取。”阿裏安全部資深品牌經理沈傑説。
“任何人都可以製作二維碼,而且生成的二維碼沒有辦法溯源,也沒有相關的管理機構提供認證,這給警方偵破二維碼詐騙案帶來了很大困難。”浙江省網警總隊工程師介紹。
鄭孵介紹,目前,二維碼的生産和流通並沒有明確的主體進行統一的管理。雖然一些部門開始逐漸意識到二維碼存在的巨大安全隱患,但還沒有相關法律法規和具體舉措。
“主管部門應該使用技術手段對二維碼進行域名解析,通過設立專門的監管平臺對二維碼進行檢測,過濾不良信息。”浙江工業大學計算機科學與技術學院陳鐵明教授建議,“可以考慮建立二維碼中心數據庫,對市面上流通的二維碼進行備案登記,將所有二維碼數據統一存放在一個中心數據庫,實現對二維碼生成流通環節的有效追溯。”
“在管理層面上,有關部門應該對二維碼的發佈內容進行備案審查,對二維碼的發佈平臺進行資質鑒定,對二維碼的發佈者進行實名登記,形成一整套完善的責任追溯機制。”陳鐵明説。(記者 方列)