二維碼亂象調查：掃一掃背后藏陷阱 制碼技術幾無門檻

日前，南京市民劉先生在掃描摩拜單車二維碼時，出現了本不該出現的轉賬提示，于是向警方報案。當地有些市民也發(fā)現，掃描摩拜單車上的二維碼后，如果不注意很可能錢就被轉走了。

虛假二維碼騙局并非孤例。在廣東破獲的一起二維碼詐騙案中，犯罪分子通過掃碼盜刷獲利90余萬元。

作為移動互聯(lián)網的入口，二維碼已被廣泛應用于社交媒體、移動支付、產品促銷等方面?！靶氯A視點”記者調查發(fā)現，由于制碼技術幾乎零門檻，不法分子將病毒、木馬程序等植入二維碼，消費者掃碼被盜刷現象時有發(fā)生。

截圖等方式可獲付款二維碼

針對消費者掃碼遭詐騙，摩拜單車負責人稱，單車上的正規(guī)二維碼都是用釘子釘在車身上的，車費必須通過APP支付。車身上發(fā)現的二維碼是后貼上去的，覆蓋了原二維碼，用戶掃描的是不法分子的詐騙二維碼。

在廣東，佛山公安局禪城分局發(fā)現一起數十家店鋪的收銀柜臺均被張貼虛假二維碼案件。犯罪嫌疑人更換商家收款二維碼，通過植入木馬病毒的虛假二維碼，獲取消費者的手機信息和密碼，進行網絡盜刷。一共作案320余起，獲利90余萬元。

記者調查發(fā)現，除了用虛假二維碼覆蓋正規(guī)二維碼實施詐騙，還有不法分子直接誘導用戶掃描帶有木馬病毒的二維碼。

此外，有些不法分子通過拍照、截圖等方式獲取用戶付款二維碼，盜刷用戶銀行卡。如浙江臺州微商趙女士在網絡交易過程中，不法分子以自己支付寶余額不足為借口，提出讓趙女士將付款碼發(fā)給自己掃碼付款。收到付款碼截圖后，不法分子隨即進行復制，盜刷了趙女士的銀行賬戶。

“付款碼相當于銀行卡加密碼，不要輕易發(fā)給他人?！睂＜医榻B，不法分子只要獲取了，就可以進行復制，獲取銀行賬戶和密碼。

“以二維碼作為入口的新型互聯(lián)網詐騙案件層出不窮，一些不法分子將手機木馬或惡意軟件披上二維碼的外衣在移動終端廣泛傳播。由于缺乏相關知識，沒有防范警惕性，消費者個人很難防范。”浙江省網警總隊有關負責人說。

專家：應建立責任追溯機制

據了解，目前我國廣泛使用的二維碼為源于日本的快速響應碼（QR碼），由于當時國內沒有自主知識產權的二維碼，市場幾乎被QR碼占據。QR碼沒有在國內申請專利，采取了免費開放的市場策略。

“這也意味著誰都可以通過網絡下載二維碼生成器。只需要將發(fā)布的內容粘貼到二維碼生成器上，軟件隨即生成用戶所需的二維碼。”杭州某網絡安全公司工程師鄭孵說。

記者在網上搜索“二維碼生成器”，發(fā)現了205萬多個搜索結果，大部分的二維碼生成軟件可以直接在線使用。記者在首頁選定了某一在線二維碼生成平臺，輸入文字、圖片、郵箱、網址后，瞬間就轉換成了二維碼。

“二維碼的制作生成沒有任何門檻。一些不法分子將病毒、木馬程序、扣費軟件等的下載地址編入二維碼，用戶一旦掃描，手機就會被植入的病毒木馬感染，身份證、銀行卡號、支付密碼等私人信息就會被盜取?！卑⒗锇踩抠Y深品牌經理沈杰說。

“任何人都可以制作二維碼，而且生成的二維碼沒有辦法溯源，也沒有相關的管理機構提供認證，這給警方偵破二維碼詐騙案帶來了很大困難?！闭憬【W警總隊工程師介紹。

鄭孵介紹，目前，二維碼的生產和流通并沒有明確的主體進行統(tǒng)一的管理。雖然一些部門開始逐漸意識到二維碼存在的巨大安全隱患，但還沒有相關法律法規(guī)和具體舉措。

浙江工業(yè)大學計算機科學與技術學院陳鐵明教授建議，“可以考慮建立二維碼中心數據庫，對市面上流通的二維碼進行備案登記，將所有二維碼數據統(tǒng)一存放在一個中心數據庫，實現對二維碼生成流通環(huán)節(jié)的有效追溯。”

“在管理層面上，有關部門應該對二維碼的發(fā)布內容進行備案審查，對二維碼的發(fā)布平臺進行資質鑒定，對二維碼的發(fā)布者進行實名登記，形成一整套完善的責任追溯機制。”陳鐵明說。

浙江工業(yè)大學網絡空間安全協(xié)會研究人員鄭毓波認為，二維碼使用企業(yè)應該加強相關的防護。

業(yè)內專家表示，用戶也需要提高掃碼安全意識。

（據新華社電）