|
识别难度大—— 制作准入门槛低 易携带恶意代码 看似一个简单的二维码,普通公众却难以辨认,二维码支付为何会存在安全隐患?风险点主要集中在哪些方面? 中国人民银行支付结算司有关负责人说,二维码支付流程分为支付指令的生成和处理两个阶段。指令处理阶段与传统的银行卡、普通互联网支付的流程相同。二维码支付的风险点主要集中在指令生成阶段的二维码生成和识别环节。 “技术问题是存在安全隐患的重要原因。”清华大学数据科学研究院二维码安全中心副主任沈维说,“二维码的码制有国家标准,目前我们使用的QR码是国际标准,也是我国的国家标准。技术上虽然已经有了国家标准,但二维码在应用上还没有相应的规范。公开的二维码无人监管,且支付前的二维码管理缺失,而监管缺位的原因在于缺少技术手段。” “光想着扫码方便,根本没意识到二维码本身也可能携带木马病毒、钓鱼软件。”家住湖北武汉的王先生曾在地铁口看到扫二维码送湿巾的广告,手机扫描后自动跳转到一个软件下载页面并开始下载。当晚他的手机突然收到银行短信,称有一笔近4000元的支出。事后查明,当天所扫的二维码带有恶意扣费病毒。 沈维说,QR二维码的码型是开放的,当前二维码制作准入门槛低,任何人都能轻而易举地制作。如果有人制作了恶意二维码,用户扫码后接入隐藏在二维码背后的假链接、假网站,就可以通过网站非法骗取资金、盗取身份信息等。目前二维码市场缺少安全技术手段对手机扫码进行管控,QR码在应用层面处于无人监管的状态,并没有相应的技术跟进。 中国人民银行支付结算司相关负责人介绍,二维码支付的主要风险点包括四个方面。一是二维码可视化风险。不法分子易通过手机病毒的方式截屏盗取或欺骗获取用户付款码,或四处张贴伪造商户的收款码,非法获取资金。二是易携带恶意代码的风险。二维码不仅可用于支付,也可用于储存恶意程序代码、非法链接等内容,真伪难以直观区分。三是信息单向交互的风险。二维码支付只能实现发起方或接收方的单向验证,不法分子若劫持客户与商户之间、商户与后台之间的通信网络,截获并恶意修改订单等交易信息,易造成用户资金损失。四是扫码设备安全强度低的风险。二维码支付对识别设备要求低,且这些设备一般无加密、防拆机等安全功能,容易被不法分子侵入。 |
