消費不用帶現金,只需打開二維碼輕輕一刷。微信、支付寶等推出二維碼支付給人們的生活帶來了極大的便捷。不過,在享受這種便捷體驗性的同時,二維碼支付也暴露出一些風險。近日,在重慶就發生了消費者使用二維碼支付時資金被盜的案件。雖然用戶被盜資金多為幾百元,警方也成功破了案,被盜刷錢也退還給受害者,但案件仍然引發用戶對二維碼支付的擔憂。
騰訊方面5月27日回復新京報記者稱,對盜刷案件深表歉意,并表示微信支付在持續通過對商戶入駐的嚴格審核及風控額度限制,保障用戶資金安全。
偷掃用戶付款碼盜刷資金
據央視新聞5月26日報道,近日,重慶江北公安分局成功破獲了一起在超市收銀處專門盜刷微信資金案件。4月21日至5月4日之間,四名受害人手持微信二維碼在超市等待付款,被人從背后通過手機掃碼,盜刷500到900元不等的資金。民警已于5月13日將嫌疑人彭某抓獲。
據報道,本案中,作案者專門在超市收銀臺附近游逛,尋找提前拿出付款二維碼準備付款的顧客,再用手機遠程掃描一下顧客的付款碼,隨后立即轉身離開,全部過程用時僅十幾秒時間。
據重慶江北公安分局吳警官向新京報記者透露,嫌疑人的盜刷過程是利用一個手機APP,通過這個APP手機就變成了掃碼槍,嫌疑人掃完顧客的二維碼后輸入收款金額,資金立即被盜刷,扣款方名稱顯示為“一站式24小時便利店”,而不是顧客所處的超市名稱。
負責承辦該案件的江北區觀音橋商業區派出所接連接到多起類似報案,后警方通過調取監控錄像,鎖定了嫌疑人,并將其抓獲。吳警官介紹,該嫌疑人一共掃了三筆,每筆都不到1000元,盜竊罪是1000元以上立案,2000元以上處理。“雖然單筆金額不夠刑事處罰,但一年內三次作案就構成了。”
騰訊回應:如被盜可追溯商戶信息
5月27日,騰訊方面針對該案回復新京報記者稱,“對于本次盜刷案件的發生我們深表歉意,目前該案件犯罪嫌疑人已被警方抓獲,并將盜刷費用退還給受害者”。
“為保障支付的安全性,微信支付付款碼時效性限制為1分鐘且僅有一次有效性”,騰訊方面還表示,若不幸遭遇資金被盜,用戶可以通過微信支付的“百萬保障”,申請被盜賠付,或在賬單詳情中投訴,會有專業客服團隊進行處理,確認被盜情況屬實,微信支付會對被盜金額進行全額賠付。
二維碼支付接入商戶的約束方面,騰訊稱,支持付款碼功能的商戶需經過平臺嚴格審核篩選并簽訂相關協議,如不幸被盜可通過商戶相關信息追溯,請用戶第一時間報警,微信支付會協助警方進行調查。微信支付在持續通過對商戶入駐的嚴格審核及風控額度限制,保障用戶資金安全。
顧客在超市購物時使用二維碼支付。 圖片來源:視覺中國
【四問二維碼盜刷】
1.二維碼盜刷是怎么做到的?
上述案件中,嫌疑人是利用一個第三方支付軟件去盜刷別人的付款碼,達到盜刷資金的目的。在該軟件上以商戶身份注冊,即可成為收款商戶。需要收款時,只要掃描顧客的微信或支付寶付款碼,然后輸入金額,即可實現收款。在上述案例中,受害者被收款的賬戶名稱均顯示為“一站式24小時便利店”。
由于二維碼免密限額一般為1000元,超過此限額需驗證密碼,因此該案嫌疑人每筆掃碼的金額均在1000元以下。
吳警官表示,在作案過程中,嫌疑人掃完之后馬上就走了,受害人即使當場發現被扣款也來不及了,反應過來的時候周圍就只有排隊的人了。”
在該軟件上注冊商戶需要經過一定資質驗證過程。吳警官介紹,據嫌疑人自述,其注冊的店鋪系偽造,正規流程需要商戶提供身份證明、店內照片等,嫌疑人在他人店鋪中,趁店主不注意拿著身份證拍了照片,假裝自己是店主,然后用這些照片在軟件上注冊。“軟件的審核流程沒有那么細,嫌疑人自述的信息里沒有提到營業執照的問題,只表示很簡單就通過了。”
2.普通用戶掃付款碼能收錢嗎?
在正常的手機支付過程中,顧客出示微信或支付寶的付款碼,商家需要使用掃碼槍或POS一體機等硬件設備來掃碼,才能實現收款。“微信個人間轉賬與商戶付款時出示的二維碼并非同一個,且入口不同”。一位接近卡組織的人士告訴記者,在商戶付款時出示的二維碼是“被掃碼”,“被掃碼”只有商戶的機具可以掃。
記者通過多人間互測也發現,普通手機掃描他人的“被掃碼”,頁面會跳轉至空白頁。
一家支付公司人士表示,不排除的一種可能性是商戶管理不嚴,移動POS機被人拿去盜用了。“但是移動POS機要掃碼很困難,那么大的一個東西,而且必須要很近才能掃到。不排除惡意分子,借助支持微信二維碼的收款APP或者變造設備進行掃碼收款進行盜刷。”
那么,是否存在把掃碼軟件內嵌在手機中這樣變造設備的可能?上述接近卡組織人士表示,理論上有點難,因為密鑰罐裝是有專門的廠商才有資質的,全國沒有幾個廠商有資質。“如果犯罪分子有這個技術,絕對是黑客級。”
對于警方透露的嫌疑人盜刷二維碼一事暴露出的漏洞,上述卡組織人士認為,可能是第三方商戶管理不嚴所致。一位支付分析人也認為,有些小型支付機構確實存在審核不嚴的問題,這種行為主要是為爭搶商戶。
3.通過二維碼盜刷資金的情況多嗎?
發生二維碼盜刷的概率大嗎?新京報記者通過對周圍的二維碼支付用戶采訪得知,他們沒有經歷過二維碼被盜刷的情況,也沒有聽過說身邊有人被盜刷。
騰訊方面5月27日提供給記者的一份材料稱,二維碼被“隔空盜刷”是出現概率極低的事件,在消費者不知情的情況下,“隔空”盜刷數萬元,基本上不存在。而且在實際生活中,入侵商戶視頻監控設備,是一件技術門檻很高,實際操作起來難度很大。
不過,在現實中,不時有二維碼盜刷的案件見諸報道。本案中盜刷的方式是利用軟件假冒商家,在線下找機會掃他人的付款碼,二維碼盜刷還有其他方式。
一種較為典型的盜刷方式是偷換商家收款二維碼來盜刷。據央視2016年12月報道,廣東佛山發生一起偷換商家二維碼盜刷案件,作案團伙在商家原本的收款二維碼上貼上一個更小的二維碼,這樣顧客掃描二維碼付的錢就轉移到了作案團伙的賬戶上。
除了普通商戶可能被偷換收款二維碼之外,常見的還有交通罰單、水電繳費單等二維碼被偷換的案例,甚至包括共享單車上的二維碼。
還有一種方式不屬于直接的二維碼盜刷,而是以二維碼為入口傳播木馬病毒或惡意軟件。2017年就有媒體曾報道過類似案例,作案者發出一張二維碼圖片,稱其中為商品信息或優惠信息,用戶掃描之后,二維碼中隱藏的木馬病毒被植入用戶手機中,可能會盜取相關手機上的銀行賬號、支付密碼等信息,造成財產損失。
4.用戶如何保護手機賬戶資金安全?
對于經常使用二維碼支付的用戶來說,怎么才能保護自己的資金安全?
騰訊在給記者的回復中提醒到,微信支付用戶在付款前可以留意周邊環境,不要提前打開付款碼,付款時再打開付款碼完成支付。
上述接近卡組織的人士也提醒到,一方面用戶可以調低免密支付限額或關掉免密支付,另一方面理論上建議大家改變支付習慣,“不要在排隊的時候就去打開付款碼,而是等快輪到自己交易的時候在做。”此外,建議打開指紋驗證,這樣安全性更高一些。
5月27日,江蘇網警也通過微博發布提醒:使用二維碼付款時,應注意觀察身后有無可疑人員。同時,廣大市民也可以關閉“免密支付”功能,降低支付安全風險。
如果發生二維碼盜刷造成資金損失,用戶該怎么辦?
微信方面表示,若不幸遭遇資金被盜,用戶可以通過“我-支付-錢包-安全保障-百萬保障”,點擊“進入賠付流程”申請被盜賠付,或在賬單詳情中投訴,會有專業客服團隊進行處理,確認被盜情況屬實,微信支付會對被盜金額進行全額賠付。
騰訊在提供給記者資料中也提到,支持小額免密功能的商戶經過平臺嚴格審核篩選并簽訂了相關協議。如果不幸發生資金被盜,可通過商戶相關信息追溯資金去向。
新京報記者 顧志娟 程維妙 羅亦丹 編輯 趙澤 校對 張彥君
圖為:掃二維碼的風險日益顯現,專家提醒別盲目掃碼 (記者鄒斌攝)
“隨手掃一掃,精彩禮物等你拿!”“掃描二維碼,加入官方購物群!”說起二維碼,你不會感覺到陌生。如今,在餐廳、地鐵、商場,甚至在街邊小廣告上,二維碼已無處不在。
可是,由掃二維碼帶來的風險也日益顯現。
近日,江夏區檢察院公布一起案件:江夏一女子網上購物,店主稱掃二維碼送“紅包”,卻不料,這一掃便掃出了麻煩,不但中意的衣服沒有拍到,顧客的支付寶賬戶也少了1.8萬余元……
360安全中心發布的相關報告也顯示,植入手機端的釣魚木馬正持續升溫。 “掃一掃”的風險有多大?又該如何防范掃碼風險?
掃碼送紅包 1.8萬元被“掃”走了
去年12月13日,像往常一樣,住江夏的朱女士在淘寶上尋找自己中意的寶貝。當她看到一件價值500元的毛衣后,很是喜歡,就拍了下來。讓她驚喜的是,剛拍下寶貝,店家便跟她聯系,說是要送她“紅包”,只要掃一下二維碼。朱女士想著快到年底了,可能真的是店家在促銷,不加思索就拿起手機對著店家發過來的二維碼掃了一下。
卻不料,這一掃,便掃出了麻煩。
朱女士再次上網發現,不但中意的衣服沒有拍到,自己的支付寶賬戶還少了18112元。
慌了神的她立即報警,警方讓朱女士拿著立案號,立刻聯系支付寶客服。很快,支付寶方面將朱女士賬戶凍結。經查,騙子用朱女士的支付寶賬戶,在網上拍下4部蘋果5S手機,并通過朱女士的支付寶賬戶付款18112元。
而支付寶賬戶之所以出現問題,是因為朱女士手機掃碼后“中毒”。
今年1月17日,警方在浙江余姚市將犯罪嫌疑人李某抓獲。李某交代,他還另外作案一起,利用上述同樣的伎倆,先后10次使用受害人尹女士的支付寶賬戶購買總額為6896元的商品。
二維碼藏毒 攔截短信改支付寶密碼
近日,李某因涉嫌盜竊罪被移至江夏區檢察院審查起訴。
李某使用的是什么伎倆?怎么手機掃了一下二維碼,支付寶賬戶就被盜了?
據到案后的李某交代,他在一個QQ群里認識了網友宋某(已涉嫌傳授犯罪方法罪被起訴),宋某傳給他一個“apk”木馬程序,他把該木馬放到網盤里,然后生成一個二維碼。
之后,李某又花150元買到一個淘寶店鋪,然后傳上一些時尚漂亮衣服的照片,價格定得較低。只要顧客有意向購買,他便會發二維碼給顧客,承諾“只要手機掃碼,便能優惠”。“顧客掃了后,下載安裝apk,木馬便植入手機,我很快就能知道手機號。支付寶賬號很多就是手機號。”至于密碼,李某說,他會用支付寶密碼“手機校驗碼找回”功能,支付寶會給綁定手機發一個校驗碼短信。而木馬能攔截短信,并自動發到李某的手機上來,受害者本人卻看不到。李某表示,有了校驗碼,他就可修改支付寶登錄密碼,而且能截取淘寶、銀行發過來的驗證碼短信,很容易劃走賬戶內的錢。
■技術實驗
二維碼制作 一分鐘就可輕松完成
360安全中心于去年12月發布的“網購先賠”報告顯示,植入手機端的釣魚木馬正持續升溫,而二維碼逐漸成為騙子發送木馬、釣魚攻擊智能手機用戶的新興渠道。利用二維碼傳播手機木馬、盜取用戶錢財的案件頻頻發生。
昨日,記者邀請專業制作二維碼的武漢矽感科技有限公司工作人員,實地演示二維碼的制作,并對二維碼病毒進行測試。
工作人員首先下載了兩個帶有病毒的程序,分別是“某抽獎活動”和“某交友網站”,這也是當下經常遇到的兩種網絡詐騙。然后將病毒程序上傳至網盤,并復制下程序的鏈接。
接著,試驗人員通過網絡搜索,找到一個在線二維碼生成器。這種生成器在網絡上很普遍,很容易找到。
工作人員將“某抽獎活動”的病毒鏈接輸入到生成器左側的空白區域內,點擊下面的“繼續生成”按鈕,一個二維碼就制作完成。整個過程,不到一分鐘就可以完成。
緊接著,工作人員用自己的手機掃了掃生成的二維碼,掃碼后出現的正是“某抽獎活動”的鏈接,打開便是各種中獎信息。試驗員介紹,如果繼續操作下去,手機將中毒,手機信息將被掌控。不法分子正是用這種方法,掌控手機信息而修改支付寶密碼,從而盜走消費者的錢財。
利用同樣的方法,工作人員制作了帶有病毒的“某交友網站”的二維碼,手機掃描后同樣是打開一個鏈接,操作下去就會手機中毒。而一旦中毒,用戶的通訊錄、銀行卡號等隱私信息、財產信息就會泄露。
武漢矽感科技有限公司副總經理竇毅介紹,這種網上下載的二維碼生成器,使用非常簡單,很容易就生成一個二維碼。
■專家說法
別盲目掃碼手機上裝安全軟件
由二維碼產生的案件層出不窮,一些消費者希望通過“掃一掃”得到實惠,沒想到反而陷入了騙子設下的陷阱。
如今二維碼已覆蓋到生活中的方方面面,我們應該如何辨識真假?
昨日,武漢大學計算機學院張健教授稱,二維碼只不過是為病毒提供了一種新的渠道、新的介質。一般用戶不了解二維碼的原理,常常“見碼就掃”,在打折、促銷或熱門游戲的幌子下,很容易被不法分子制造的假象所迷惑。
張健教授提醒廣大消費者,在掃描二維碼前一定要確認該碼是否出自官方和正規的網站,對于一些來路不明的二維碼,不要盲目掃描。 消費者最好在手機上安裝相應的安全軟件,如騰訊手機管家、360手機衛士等,以防止二維碼病毒侵入手機。消費者應盡量使用有安全驗證功能的軟件掃描二維碼。如果通過二維碼來安裝軟件,安裝好以后,最好先用手機殺毒軟件掃描一遍再打開。
張教授同時呼吁,互聯網企業、各大廠商等應該負起保護用戶信息的責任,加快提升安全技術,推動業界的交流和合作,共同建造互聯網安全體系,不要讓不法分子有空子可鉆,為廣大網民營造一個健康的網絡環境。
監管顯空白亟待加強法規建設
湖北今天律師事務所付軍律師指出,目前市場對二維碼的監管還是“一片空白”,制作二維碼沒有任何規定,發布二維碼也沒有任何限制,整個行業處在一種自由化的狀態。而二維碼是否藏有病毒,從外觀上是無法辨別的,用戶一旦誤掃“藏毒”二維碼,很可能導致隱私泄露、賬戶被盜等情況的發生。
付軍律師稱,二維碼本質上只是一種信息編碼方式,是柳葉刀還是兇器關鍵看掌握在誰手中。對二維碼使用的監管缺失以及行業的低門檻才是其安全隱患的根源。
付軍律師建議,在行業和技術標準出臺之前,消費者“掃一掃”時,應盡量先核實該二維碼的來源,選擇正規企業、商家發布的二維碼來掃描。對于監管部門來說,亟待加強惡意手機應用相關的法律法規體系建設,從信譽、認證入手,進一步規范市場發展環境,保護用戶的合法權益。(記者方歷嬌 通訊員朱凌云、李潔)