“二维码技术最初是一种识别访问技术,并不是专门用于电子商务,因此在交易过程中缺乏一种能够评估和鉴别二维码信息来消费者安全的机制。”上海交通大学网络空间安全学院院长李建华说,对消费者而言,正确鉴别和验证二维码的可靠性难度大,每一张二维码图像看似普通,实则包含了复杂的信息,用户辨认起来很不方便。
看似一个简单的二维码,普通却难以辨认,二维码支付为何会存在安全隐患?风险点主要集中在哪些方面?
中国人民银行支付结算司有关负责人说,二维码支付流程分为支付指令的生成和处理两个阶段。指令处理阶段与传统的银行卡、普通互联网支付的流程相同。二维码支付的风险点主要集中在指令生成阶段的二维码生成和识别环节。
“技术问题是存在安全隐患的重要原因。”大学数据科学研究院二维码安全中心副主任沈维说,“二维码的码制有国家标准,目前我们使用的QR码是国际标准,也是我国的国家标准。技术上虽然已经有了国家标准,但二维码在应用上还没有相应的规范。公开的二维码无人监管,且支付前的二维码管理缺失,而监管缺位的原因在于缺少技术手段。”
“光想着扫码方便,根本没意识到二维码本身也可能携带木马病毒、钓鱼软件。”家住湖北武汉的王先生曾在地铁口看到扫二维码送湿巾的广告,手机扫描后自动跳转到一个软件下载页面并开始下载。当晚他的手机突然收到银行短信,称有一笔近4000元的支出。事后查明,当天所扫的二维码带有恶意扣费病毒。
沈维说,QR二维码的码型是的,当前二维码制作准入门槛低,任何人都能轻而易举地制作。如果有人制作了恶意二维码,用户扫码后接入隐藏在二维码背后的假链接、假网站,就可以通过网站非法骗取资金、盗取身份信息等。目前二维码市场缺少安全技术手段对手机扫码进行管控,QR码在应用层面处于无人监管的状态,并没有相应的技术跟进。
中国人民银行支付结算司相关负责人介绍,二维码支付的主要风险点包括四个方面。一是二维码可视化风险。易通过手机病毒的方式截屏盗取或获取用户付款码,或四处伪造商户的收款码,非法获取资金。二是易携带恶意代码的风险。二维码不仅可用于支付,也可用于储存恶意程序代码、非法链接等内容,难以直观区分。三是信息单向交互的风险。二维码支付只能实现发起方或接收方的单向验证,若劫持客户与商户之间、商户与后台之间的通信网络,截获并恶意修改订单等交易信息,易造成用户资金损失。四是扫码设备安全强度低的风险。二维码支付对识别设备要求低,且这些设备一般无加密、防拆机等安全功能,容易被侵入。
近日,某私营企业负责人陈安在下泄露了自己的某支付机构付款码,对方将付款条码上的数字发过去,之后陈安的支付账户立刻被划走499元。陈安说,找客服投诉后,支付机构只说后台审核,如果对方账户存在风险,会采取冻结账户的手段。“但现在几个月过去了,不仅对方账户没有冻结,被骗的欠款也没能要回来。”
“二维码犯罪隐蔽性强、传染性快,但电子获存困难,相关不健全,成本高。制作和发布的实施主体和责任承担主体难以明确锁定,增加了诉讼的不确定因素。”京师律师事务所律师左胜高认为。
一位网络安全从业人员称,近年来涉及二维码的案件很多,其中包括非法获取信息、诈骗、盗刷等。对于像二维码这样的新兴技术在多领域的应用,周公解梦 死人复活相关监督管理部门还未出台较为有效的规章和监管机制。
大成律师事务所律师肖飒认为,当用户二维码支付安全问题时,应该先确认在支付的哪个环节产生了问题,明确责任归属;其次,确定相应漏洞环节的负责人或负责机构,向其提出投诉或举报,由相关方进行专门处理;若“非法二维码”,无有关方负责,则可向有关部门报案或,根据其行为自身权益的性质与程度决定处理方式。“目前二维码支付的发案率高,但对于普通用户来说,自身的权益确实难度很大。”肖飒说。
近日记者在昆明几家公墓采访,看到贴在墓位下方的二维码时,依然被惊了一下,传说中的“二维码”公墓终于走进了昆明人的生活。
5号线号线扫码设备加装完成昨天下午,记者从地铁票务平台如意行公司获悉,预计今年上半年地铁全线各站的所有闸机都将实现刷手机二维码乘车的功能。刷二维码乘地铁还可享受到市为市民提供的累计优惠政策,每月累计乘车消费满100元,可享受8折优惠,满150元可享受5折优惠。
3月5日下午3:00,南京市中央小学放学铃声准时响起,10几个背着书包的孩子陆续走进 “弹性离校”教室。一年过去,今年的春季新学期,“弹性离校”投入增加,并率先在玄武区启动试点智慧平台,全市379所小学将全部实行“弹性离校”。
本文由 恒宇国际(www.neivn.cn)整理发布
网友评论 ()条 查看