二維碼支付存隱患 識(shí)別難度大,維權(quán)有點(diǎn)難

中國(guó)人民銀行發(fā)布的條碼支付業(yè)務(wù)規(guī)范4月1日起實(shí)施,，這一規(guī)范主要針對(duì)支付風(fēng)險(xiǎn)控制措施較少、安全性較低的靜態(tài)條碼,，明確同一客戶(hù)銀行或支付機(jī)構(gòu)單日累計(jì)交易金額應(yīng)不超過(guò)500元。二維碼掃描技術(shù)為公眾生活提供便利的同時(shí)，也暴露出一些安全隱患,。俗稱(chēng)“掃一掃”的二維碼支付，有哪些風(fēng)險(xiǎn)點(diǎn),？

存安全隱患——常見(jiàn)李鬼二維碼 稍一疏忽易上當(dāng)

二維碼掃一掃看起來(lái)便利,，可稍一疏忽就會(huì)出麻煩。尤其是,，二維碼也可能成為一些人非法斂財(cái)?shù)那?。曾騰是廣東省江門(mén)市一名大學(xué)生，他曾在宿舍樓下用手機(jī)掃了一輛共享單車(chē)上的二維碼,，掃描后手機(jī)自動(dòng)跳轉(zhuǎn)到一個(gè)支付頁(yè)面,，要求支付299元押金。

“對(duì)方是個(gè)支付賬戶(hù),，當(dāng)時(shí)有點(diǎn)著急,，沒(méi)有細(xì)看就選擇了確認(rèn)支付?！痹v說(shuō),，可支付后他并沒(méi)能打開(kāi)車(chē)鎖,，單車(chē)軟件也未顯示押金支付成功。他這才反應(yīng)過(guò)來(lái),，自己可能被騙了,，再仔細(xì)觀察剛才掃描的那張二維碼，發(fā)現(xiàn)是一張貼紙,，覆蓋了車(chē)體本身攜帶的二維碼,。

“二維碼技術(shù)最初是一種識(shí)別訪問(wèn)技術(shù)，并不是專(zhuān)門(mén)用于電子商務(wù),，因此在交易過(guò)程中缺乏一種能夠評(píng)估和鑒別二維碼信息來(lái)保護(hù)消費(fèi)者安全的機(jī)制,。”上海交通大學(xué)網(wǎng)絡(luò)空間安全學(xué)院院長(zhǎng)李建華說(shuō),，對(duì)消費(fèi)者而言,，正確鑒別和驗(yàn)證二維碼的可靠性難度大，每一張二維碼圖像看似普通,，實(shí)則包含了復(fù)雜的信息,，用戶(hù)辨認(rèn)起來(lái)很不方便。

識(shí)別難度大——制作準(zhǔn)入門(mén)檻低 易攜帶惡意代碼

看似一個(gè)簡(jiǎn)單的二維碼,，普通公眾卻難以辨認(rèn),，二維碼支付為何會(huì)存在安全隱患？風(fēng)險(xiǎn)點(diǎn)主要集中在哪些方面,？

中國(guó)人民銀行支付結(jié)算司有關(guān)負(fù)責(zé)人說(shuō),，二維碼支付流程分為支付指令的生成和處理兩個(gè)階段。指令處理階段與傳統(tǒng)的銀行卡,、普通互聯(lián)網(wǎng)支付的流程相同,。二維碼支付的風(fēng)險(xiǎn)點(diǎn)主要集中在指令生成階段的二維碼生成和識(shí)別環(huán)節(jié)。

“技術(shù)問(wèn)題是存在安全隱患的重要原因,?！鼻迦A大學(xué)數(shù)據(jù)科學(xué)研究院二維碼安全中心副主任沈維說(shuō)，“二維碼的碼制有國(guó)家標(biāo)準(zhǔn),，目前我們使用的QR碼是國(guó)際標(biāo)準(zhǔn),，也是我國(guó)的國(guó)家標(biāo)準(zhǔn)。技術(shù)上雖然已經(jīng)有了國(guó)家標(biāo)準(zhǔn),，但二維碼在應(yīng)用上還沒(méi)有相應(yīng)的規(guī)范,。公開(kāi)的二維碼無(wú)人監(jiān)管，且支付前的二維碼管理缺失,，而監(jiān)管缺位的原因在于缺少技術(shù)手段,。”

“光想著掃碼方便，根本沒(méi)意識(shí)到二維碼本身也可能攜帶木馬病毒,、釣魚(yú)軟件?！奔易『蔽錆h的王先生曾在地鐵口看到掃二維碼送濕巾的廣告,，手機(jī)掃描后自動(dòng)跳轉(zhuǎn)到一個(gè)軟件下載頁(yè)面并開(kāi)始下載。當(dāng)晚他的手機(jī)突然收到銀行短信,，稱(chēng)有一筆近4000元的支出,。事后查明，當(dāng)天所掃的二維碼帶有惡意扣費(fèi)病毒,。

沈維說(shuō),，QR二維碼的碼型是開(kāi)放的，當(dāng)前二維碼制作準(zhǔn)入門(mén)檻低,，任何人都能輕而易舉地制作,。如果有人制作了惡意二維碼，用戶(hù)掃碼后接入隱藏在二維碼背后的假鏈接,、假網(wǎng)站,，就可以通過(guò)網(wǎng)站非法騙取資金、盜取身份信息等,。目前二維碼市場(chǎng)缺少安全技術(shù)手段對(duì)手機(jī)掃碼進(jìn)行管控,，QR碼在應(yīng)用層面處于無(wú)人監(jiān)管的狀態(tài)，并沒(méi)有相應(yīng)的技術(shù)跟進(jìn),。

中國(guó)人民銀行支付結(jié)算司相關(guān)負(fù)責(zé)人介紹,，二維碼支付的主要風(fēng)險(xiǎn)點(diǎn)包括四個(gè)方面。一是二維碼可視化風(fēng)險(xiǎn),。不法分子易通過(guò)手機(jī)病毒的方式截屏盜取或欺騙獲取用戶(hù)付款碼,，或四處張貼偽造商戶(hù)的收款碼，非法獲取資金,。二是易攜帶惡意代碼的風(fēng)險(xiǎn),。二維碼不僅可用于支付，也可用于儲(chǔ)存惡意程序代碼,、非法鏈接等內(nèi)容,，真?zhèn)坞y以直觀區(qū)分。三是信息單向交互的風(fēng)險(xiǎn),。二維碼支付只能實(shí)現(xiàn)發(fā)起方或接收方的單向驗(yàn)證,，不法分子若劫持客戶(hù)與商戶(hù)之間、商戶(hù)與后臺(tái)之間的通信網(wǎng)絡(luò),，截獲并惡意修改訂單等交易信息,，易造成用戶(hù)資金損失。四是掃碼設(shè)備安全強(qiáng)度低的風(fēng)險(xiǎn)。二維碼支付對(duì)識(shí)別設(shè)備要求低,，且這些設(shè)備一般無(wú)加密,、防拆機(jī)等安全功能，容易被不法分子侵入,。

維權(quán)有點(diǎn)難——支付背后環(huán)節(jié)多 責(zé)任主體難明確

近日,，某私營(yíng)企業(yè)負(fù)責(zé)人陳安在不法分子迷惑下泄露了自己的某支付機(jī)構(gòu)付款碼，對(duì)方指示將付款條碼上的數(shù)字發(fā)過(guò)去,，之后陳安的支付賬戶(hù)立刻被劃走499元,。陳安說(shuō)，找客服投訴后,，支付機(jī)構(gòu)只說(shuō)后臺(tái)審核,，如果對(duì)方賬戶(hù)存在風(fēng)險(xiǎn)，會(huì)采取凍結(jié)賬戶(hù)的手段,?！暗F(xiàn)在幾個(gè)月過(guò)去了，不僅對(duì)方賬戶(hù)沒(méi)有凍結(jié),，被騙的欠款也沒(méi)能要回來(lái),。”

“二維碼犯罪隱蔽性強(qiáng),、傳染性快,，但電子證據(jù)獲存困難，相關(guān)規(guī)定不健全,，維權(quán)成本高,。制作和發(fā)布的實(shí)施主體和責(zé)任承擔(dān)主體難以明確鎖定，增加了訴訟的不確定因素,?！本熉蓭熓聞?wù)所律師左勝高認(rèn)為。

一位網(wǎng)絡(luò)安全從業(yè)人員稱(chēng),，近年來(lái)涉及二維碼的案件很多,，其中包括非法獲取公民信息、詐騙,、盜刷等,。對(duì)于像二維碼這樣的新興技術(shù)在多領(lǐng)域的應(yīng)用，相關(guān)監(jiān)督管理部門(mén)還未出臺(tái)較為有效的規(guī)章和監(jiān)管機(jī)制,。

北京大成律師事務(wù)所律師肖颯認(rèn)為,，當(dāng)用戶(hù)遭遇二維碼支付安全問(wèn)題時(shí)，應(yīng)該先確認(rèn)在支付的哪個(gè)環(huán)節(jié)產(chǎn)生了問(wèn)題,，明確責(zé)任歸屬,；其次,，確定相應(yīng)漏洞環(huán)節(jié)的負(fù)責(zé)人或負(fù)責(zé)機(jī)構(gòu)，向其提出投訴或舉報(bào),，由相關(guān)方進(jìn)行專(zhuān)門(mén)處理,；若遭遇“非法二維碼”，無(wú)有關(guān)方負(fù)責(zé),，則可向有關(guān)部門(mén)報(bào)案或控告,，根據(jù)其行為侵犯自身權(quán)益的性質(zhì)與程度決定處理方式?！澳壳岸S碼支付的發(fā)案率高，但對(duì)于普通用戶(hù)來(lái)說(shuō),，維護(hù)自身的權(quán)益確實(shí)難度很大,。”肖颯說(shuō),。

王觀 李若愚