新華社杭州２月２７日電題：“掃一掃”錢就不見了,？－－二維碼亂象調(diào)查

新華社“新華視點(diǎn)”記者方列

日前,，南京市民劉先生在掃描摩拜單車二維碼時(shí)，出現(xiàn)了本不該出現(xiàn)的轉(zhuǎn)賬提示,，于是向警方報(bào)案。當(dāng)?shù)赜行┦忻褚舶l(fā)現(xiàn),，掃描摩拜單車上的二維碼后,，如果不注意很可能錢就被轉(zhuǎn)走了。

虛假二維碼騙局并非孤例,。在廣東破獲的一起二維碼詐騙案中,，犯罪分子通過掃碼盜刷獲利９０余萬元。

作為移動(dòng)互聯(lián)網(wǎng)的入口,，二維碼已被廣泛應(yīng)用于社交媒體,、移動(dòng)支付,、產(chǎn)品促銷、應(yīng)用程序下載等方面,?！靶氯A視點(diǎn)”記者調(diào)查發(fā)現(xiàn)，由于制碼技術(shù)幾乎零門檻,，不法分子將病毒,、木馬程序、扣費(fèi)軟件等植入二維碼,，消費(fèi)者掃碼被盜刷現(xiàn)象時(shí)有發(fā)生,。

“掃一掃”背后的詐騙陷阱：覆蓋正規(guī)碼、木馬植入,、遠(yuǎn)程復(fù)制

針對(duì)消費(fèi)者掃碼遭詐騙,，摩拜單車負(fù)責(zé)人稱，單車上的正規(guī)二維碼都是用釘子釘在車身上的,，車費(fèi)必須通過ＡＰＰ支付,。車身上發(fā)現(xiàn)的二維碼是后貼上去的，覆蓋了原二維碼,，用戶掃描的是不法分子的詐騙二維碼,。

在廣東，佛山公安局禪城分局發(fā)現(xiàn)一起數(shù)十家店鋪的收銀柜臺(tái)均被張貼虛假二維碼案件,。犯罪嫌疑人更換商家收款二維碼,，通過植入木馬病毒的虛假二維碼，獲取消費(fèi)者的手機(jī)信息和密碼,，進(jìn)行網(wǎng)絡(luò)盜刷,。一共作案３２０余起，獲利９０余萬元,。

記者調(diào)查發(fā)現(xiàn),，除了用虛假二維碼覆蓋正規(guī)二維碼實(shí)施詐騙，還有不法分子直接誘導(dǎo)用戶掃描帶有木馬病毒的二維碼,。比如,，浙江就多次發(fā)現(xiàn)不法分子以掃碼得紅包的形式誘導(dǎo)用戶，一旦用戶掃碼后,，手機(jī)會(huì)感染木馬病毒,，各種信息都被竊取了。

此外,，有些不法分子通過拍照,、截圖、遠(yuǎn)程控制等方式獲取用戶付款二維碼,，盜刷用戶銀行卡,。浙江臺(tái)州微商趙女士就是一個(gè)受害人,。在網(wǎng)絡(luò)交易過程中，不法分子以自己支付寶余額不足為借口,，提出讓趙女士將付款碼發(fā)給自己掃碼付款,。收到付款碼截圖后，不法分子隨即進(jìn)行復(fù)制,，盜刷了趙女士的銀行賬戶,。

“付款碼相當(dāng)于銀行卡加密碼，不要輕易發(fā)給他人,?！睂＜医榻B，不法分子只要獲取了,，就可以進(jìn)行復(fù)制,，獲取銀行賬戶和密碼。

“現(xiàn)在我都不敢隨便掃碼了,，一不小心就可能被騙,。可是現(xiàn)在生活中要用到二維碼的地方又這么多,，真是讓人糾結(jié),。”杭州市民陳小姐說,。

“以二維碼作為入口的新型互聯(lián)網(wǎng)詐騙案件層出不窮,，一些不法分子將手機(jī)木馬或惡意軟件披上二維碼的外衣在移動(dòng)終端廣泛傳播。由于缺乏相關(guān)知識(shí),，沒有防范警惕性,，消費(fèi)者個(gè)人很難防范?！闭憬【W(wǎng)警總隊(duì)有關(guān)負(fù)責(zé)人說,。

專家稱制碼技術(shù)門檻幾乎為零,，騙子可輕易制“毒碼”

業(yè)內(nèi)人士介紹,，二維碼就是一張能存儲(chǔ)信息的擁有特定格式的圖形，能夠在橫向和縱向兩個(gè)方位同時(shí)表達(dá)信息,，能在有限的面積內(nèi)表達(dá)大量信息,。個(gè)人名片、網(wǎng)址,、付款和收款信息等都可以通過二維碼圖案展現(xiàn)出來,。

據(jù)了解，目前我國廣泛使用的二維碼為源于日本的快速響應(yīng)碼（ＱＲ碼）,，由于當(dāng)時(shí)國內(nèi)沒有自主知識(shí)產(chǎn)權(quán)的二維碼,，市場幾乎被ＱＲ碼占據(jù),。ＱＲ碼沒有在國內(nèi)申請(qǐng)專利，采取了免費(fèi)開放的市場策略,?！斑@也意味著誰都可以通過網(wǎng)絡(luò)下載二維碼生成器。只需要將發(fā)布的內(nèi)容粘貼到二維碼生成器上,，軟件隨即生成用戶所需的二維碼,。”杭州某網(wǎng)絡(luò)安全公司工程師鄭孵說,。

記者在網(wǎng)上搜索“二維碼生成器”,，發(fā)現(xiàn)了２０５萬多個(gè)搜索結(jié)果，大部分的二維碼生成軟件可以直接在線使用,。記者在首頁選定了某一在線二維碼生成平臺(tái),，輸入文字、圖片,、郵箱,、網(wǎng)址后，瞬間就轉(zhuǎn)換成了二維碼,。

“二維碼的制作生成沒有任何門檻,。一些不法分子將病毒、木馬程序,、扣費(fèi)軟件等的下載地址編入二維碼,，用戶一旦掃描，手機(jī)就會(huì)被植入的病毒木馬感染,，身份證,、銀行卡號(hào)、支付密碼等私人信息就會(huì)被盜取,?！卑⒗锇踩抠Y深品牌經(jīng)理沈杰說。

“任何人都可以制作二維碼,，而且生成的二維碼沒有辦法溯源,，也沒有相關(guān)的管理機(jī)構(gòu)提供認(rèn)證，這給警方偵破二維碼詐騙案帶來了很大困難,?！闭憬【W(wǎng)警總隊(duì)工程師介紹。

建立回溯機(jī)制明確監(jiān)管主體

鄭孵介紹,，目前,，二維碼的生產(chǎn)和流通并沒有明確的主體進(jìn)行統(tǒng)一的管理。雖然一些部門開始逐漸意識(shí)到二維碼存在的巨大安全隱患,，但還沒有相關(guān)法律法規(guī)和具體舉措,。

“主管部門應(yīng)該使用技術(shù)手段對(duì)二維碼進(jìn)行域名解析,，通過設(shè)立專門的監(jiān)管平臺(tái)對(duì)二維碼進(jìn)行檢測，過濾不良信息,?！闭憬I(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院陳鐵明教授建議，“可以考慮建立二維碼中心數(shù)據(jù)庫,，對(duì)市面上流通的二維碼進(jìn)行備案登記,，將所有二維碼數(shù)據(jù)統(tǒng)一存放在一個(gè)中心數(shù)據(jù)庫，實(shí)現(xiàn)對(duì)二維碼生成流通環(huán)節(jié)的有效追溯,?！?/p>

“在管理層面上，有關(guān)部門應(yīng)該對(duì)二維碼的發(fā)布內(nèi)容進(jìn)行備案審查,，對(duì)二維碼的發(fā)布平臺(tái)進(jìn)行資質(zhì)鑒定,，對(duì)二維碼的發(fā)布者進(jìn)行實(shí)名登記，形成一整套完善的責(zé)任追溯機(jī)制,?！标愯F明說。

浙江工業(yè)大學(xué)網(wǎng)絡(luò)空間安全協(xié)會(huì)研究人員鄭毓波認(rèn)為,，二維碼使用企業(yè)應(yīng)該加強(qiáng)相關(guān)的防護(hù),。據(jù)了解，目前微信和支付寶已經(jīng)在軟件里加強(qiáng)了安全監(jiān)控保護(hù),，確保用戶掃碼安全,。支付寶公司近日宣布，從２月２０日起,，支付寶付款碼將專碼專用,，只用于線下付款。這就避免了一些不法分子利用二維碼付款的機(jī)制實(shí)施轉(zhuǎn)賬詐騙,。沈杰告訴記者,，支付寶已經(jīng)自帶網(wǎng)址檢測功能，用于判定掃描的二維碼是否存在惡意鏈接,。如果發(fā)現(xiàn)安全隱患,，系統(tǒng)會(huì)發(fā)出安全提示，讓用戶判定是否需要進(jìn)入跳轉(zhuǎn)界面,。

業(yè)內(nèi)專家表示,，用戶也需要提高掃碼安全意識(shí),?！安簧偃擞胁涣嫉膾呙枇?xí)慣，看見二維碼就掃,，很容易落入不法分子的陷阱,?！编嵷共ㄕf，應(yīng)該加大知識(shí)普及,，讓大家了解二維碼編碼原理和二維碼發(fā)布機(jī)制,，不隨意掃描來歷不明的二維碼，保護(hù)自己的信息安全,。（參與采寫：倪震洲）（完）