二維碼安全漏洞 可致存款不翼而飛

你“掃一掃”了嗎？如今，黑白相間、形似迷宮的二維碼已經(jīng)深入人們的日常生活。隨著智能手機(jī)普及，二維碼成為連接線上、線下的一個(gè)重要通道。然而，一些犯罪分子利用二維碼傳播手機(jī)病毒和不良信息，甚至是進(jìn)行詐騙等犯罪活動(dòng)，嚴(yán)重威脅消費(fèi)者的財(cái)產(chǎn)安全。

本二維碼掃描安全可靠

“掃一掃”二維碼，存款瞬間被盜

日前，浙江嘉興汪女士在掃二維碼時(shí)遭遇了陷阱。在淘寶交易過(guò)程中，對(duì)方發(fā)來(lái)一個(gè)二維碼，稱(chēng)必須掃描二維碼才能顯示商品信息。汪女士沒(méi)多想，用手機(jī)掃了一下，點(diǎn)了一下鏈接，可網(wǎng)頁(yè)一直沒(méi)有顯示出來(lái)，再登錄支付寶賬戶時(shí)，發(fā)現(xiàn)密碼已被修改，隨后，支付寶、余額寶中的18萬(wàn)元被對(duì)方轉(zhuǎn)走。

據(jù)辦案民警介紹，汪女士掃二維碼點(diǎn)開(kāi)的鏈接被植入木馬病毒，她的手機(jī)“中招”后，支付寶的服務(wù)密碼被對(duì)方獲取，隨后賬戶被對(duì)方盜刷。

類(lèi)似的詐騙犯罪不時(shí)在各地上演，消費(fèi)者損失慘重。如去年11月，福建一對(duì)母女在未核實(shí)來(lái)源的情況下掃描二維碼，半小時(shí)內(nèi)手機(jī)銀行賬戶被盜刷200多萬(wàn)元；還有一位何先生也被犯罪分子以同樣方法盜走152萬(wàn)元。

公安人員介紹，犯罪分子先將二維碼植入病毒程序，編造理由或偽裝成商家優(yōu)惠券等，誘騙受害人掃描，從而獲取受害人身份證號(hào)、銀行賬號(hào)、手機(jī)號(hào)碼等重要信息，再以短信驗(yàn)證的方式篡改對(duì)方密碼，將對(duì)方賬戶的資金轉(zhuǎn)走。

有關(guān)案件顯示，利用二維碼盜刷消費(fèi)者存款，已成為一種新的犯罪途徑，此類(lèi)詐騙活動(dòng)有進(jìn)一步蔓延之勢(shì)。

二維碼藏病毒，外觀無(wú)法辨認(rèn)

在日常生活中，用手機(jī)“掃一掃”，就能添加微信好友、下載優(yōu)惠券、購(gòu)買(mǎi)車(chē)票、瀏覽網(wǎng)頁(yè)、下載手機(jī)應(yīng)用等，甚至有人用二維碼制作成自己的個(gè)人名片。

“只要手機(jī)上有微信或二維碼識(shí)讀軟件，就能任意讀取二維碼。”靈動(dòng)快拍董事長(zhǎng)兼首席執(zhí)行官王鵬飛說(shuō)，二維碼在為用戶帶來(lái)便利的同時(shí)，也存在信息安全方面的漏洞。

專(zhuān)家介紹，由于技術(shù)門(mén)檻過(guò)低，二維碼目前處在“人人皆可制作、印刷和發(fā)布”的狀態(tài)，由此帶來(lái)的信息安全風(fēng)險(xiǎn)不容忽視。

據(jù)了解，不法分子在網(wǎng)上下載一款“二維碼生成器”(工具軟件)，再將病毒程序的網(wǎng)址粘貼到二維碼生成器上，就可以生成一個(gè)二維碼，整個(gè)過(guò)程不超過(guò)1分鐘。

業(yè)內(nèi)人士指出，相關(guān)部門(mén)對(duì)二維碼的監(jiān)管也是“一片空白”，注冊(cè)一家二維碼企業(yè)并不需要專(zhuān)業(yè)資質(zhì)，制作二維碼也沒(méi)有任何規(guī)定，發(fā)布二維碼也沒(méi)有任何限制，整個(gè)行業(yè)處在一種自由化狀態(tài)。

“二維碼只是一個(gè)中介，在‘人人都能制作、印刷和發(fā)布’的狀態(tài)下，是否成為犯罪工具就看掌握在誰(shuí)的手上?！眹?guó)際關(guān)系學(xué)院信息科技系副主任王標(biāo)說(shuō)，二維碼是否藏有病毒，從外觀上無(wú)法辨別，用戶一旦掃了“藏毒”二維碼，就會(huì)導(dǎo)致隱私泄露、賬戶被盜刷等。

此外，二維碼也成為一些不良信息的傳播渠道。記者在網(wǎng)上搜索到一條贏取優(yōu)惠券的二維碼，用手機(jī)掃描后，發(fā)現(xiàn)這個(gè)二維碼中并無(wú)優(yōu)惠券信息，顯示的是一家色情淫穢網(wǎng)站的網(wǎng)址。

安全漏洞明顯，亟待加強(qiáng)監(jiān)管

隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的發(fā)展，作為一項(xiàng)頗有實(shí)用性的編碼方式，二維碼的普及看來(lái)是一種趨勢(shì)。然而，面對(duì)二維碼帶來(lái)的信息安全威脅，廣大用戶如何防護(hù)？監(jiān)管部門(mén)如何堵塞安全漏洞？

王標(biāo)建議，在“掃一掃”之前，廣大用戶應(yīng)提高警惕，先核實(shí)二維碼的來(lái)源，要選擇正規(guī)企業(yè)、商家發(fā)布的二維碼，不要掃描來(lái)源不明的二維碼；同時(shí)，用戶需要安裝手機(jī)安全防護(hù)軟件，及時(shí)更新，以降低信息安全風(fēng)險(xiǎn)。

南開(kāi)大學(xué)計(jì)算機(jī)科學(xué)與信息安全系主任賈春福表示，公安機(jī)關(guān)應(yīng)當(dāng)嚴(yán)厲打擊利用二維碼犯罪的行為，信息技術(shù)管理部門(mén)也要加強(qiáng)應(yīng)對(duì)，鼓勵(lì)手機(jī)安全軟件企業(yè)，完善惡意網(wǎng)址云端數(shù)據(jù)庫(kù)，研發(fā)推廣帶有安全掃描技術(shù)的掃碼軟件，以遏制信息詐騙等行為。

“當(dāng)務(wù)之急是出臺(tái)二維碼的使用標(biāo)準(zhǔn)，完善針對(duì)移動(dòng)互聯(lián)網(wǎng)安全的法律法規(guī)?！蓖鯓?biāo)說(shuō)，對(duì)二維碼企業(yè)資質(zhì)、認(rèn)證、備案等予以明確規(guī)定，促進(jìn)這一行業(yè)的健康發(fā)展。

賈春福告訴記者，我們常用的二維碼都是日本研發(fā)的QR碼，是開(kāi)源的、通用的。誰(shuí)都可以生成，誰(shuí)都可以讀取，相當(dāng)于明文電報(bào)。一些特殊行業(yè)使用二維碼時(shí)，應(yīng)該優(yōu)先使用自主的、帶有密碼的二維碼體系，設(shè)置加密、解密的工具，防止信息泄露。