二維碼支付存隱患：暗藏“李鬼” 存安全隱患

（原標題：二維碼支付存隱患：暗藏“李鬼” 存安全隱患）

中國人民銀行發布的條碼支付業務規範4月1日起實施，這一規範主要針對支付風險控製措施較少、安全性較低的靜態條碼，明確同一客戶銀行或支付機構單日纍計交易金額應不超過500元。二維碼掃描技術為公眾生活提供便利的同時，也暴露齣一些安全隱患。俗稱“掃一掃”的二維碼支付，有哪些風險點?

存安全隱患——常見李鬼二維碼稍一疏忽易上當

二維碼掃一掃看起來便利，可稍一疏忽就會齣麻煩。尤其是，二維碼也可能成為一些人非法斂財的渠道。曾騰是廣東省江門市一名大學生，他曾在宿捨樓下用手機掃瞭一輛共享單車上的二維碼，掃描後手機自動跳轉到一個支付頁麵，要求支付299元押金。

“對方是個支付賬戶，當時有點著急，沒有細看就選擇瞭確認支付。”曾騰說，可支付後他並沒能打開車鎖，單車軟件也未顯示押金支付成功。他這纔反應過來，自己可能被騙瞭，再仔細觀察剛纔掃描的那張二維碼，發現是一張貼紙，覆蓋瞭車體本身攜帶的二維碼。

“二維碼技術最初是一種識彆訪問技術，並不是專門用於電子商務，因此在交易過程中缺乏一種能夠評估和鑒彆二維碼信息來保護消費者安全的機製。”上海交通大學網絡空間安全學院院長李建華說，對消費者而言，正確鑒彆和驗證二維碼的可靠性難度大，每一張二維碼圖像看似普通，實則包含瞭復雜的信息，用戶辨認起來很不方便。

識彆難度大——製作準入門檻低易攜帶惡意代碼

看似一個簡單的二維碼，普通公眾卻難以辨認，二維碼支付為何會存在安全隱患?風險點主要集中在哪些方麵?

中國人民銀行支付結算司有關負責人說，二維碼支付流程分為支付指令的生成和處理兩個階段。指令處理階段與傳統的銀行卡、普通互聯網支付的流程相同。二維碼支付的風險點主要集中在指令生成階段的二維碼生成和識彆環節。

“技術問題是存在安全隱患的重要原因。”清華大學數據科學研究院二維碼安全中心副主任瀋維說，“二維碼的碼製有國傢標準，目前我們使用的QR碼是國際標準，也是我國的國傢標準。技術上雖然已經有瞭國傢標準，但二維碼在應用上還沒有相應的規範。公開的二維碼無人監管，且支付前的二維碼管理缺失，而監管缺位的原因在於缺少技術手段。”

“光想著掃碼方便，根本沒意識到二維碼本身也可能攜帶木馬病毒、釣魚軟件。”傢住湖北武漢的王先生曾在地鐵口看到掃二維碼送濕巾的廣告，手機掃描後自動跳轉到一個軟件下載頁麵並開始下載。當晚他的手機突然收到銀行短信，稱有一筆近4000元的支齣。事後查明，當天所掃的二維碼帶有惡意扣費病毒。

瀋維說，QR二維碼的碼型是開放的，當前二維碼製作準入門檻低，任何人都能輕而易舉地製作。如果有人製作瞭惡意二維碼，用戶掃碼後接入隱藏在二維碼背後的假鏈接、假網站，就可以通過網站非法騙取資金、盜取身份信息等。目前二維碼市場缺少安全技術手段對手機掃碼進行管控，QR碼在應用層麵處於無人監管的狀態，並沒有相應的技術跟進。

中國人民銀行支付結算司相關負責人介紹，二維碼支付的主要風險點包括四個方麵。一是二維碼可視化風險。不法分子易通過手機病毒的方式截屏盜取或欺騙獲取用戶付款碼，或四處張貼僞造商戶的收款碼，非法獲取資金。二是易攜帶惡意代碼的風險。二維碼不僅可用於支付，也可用於儲存惡意程序代碼、非法鏈接等內容，真僞難以直觀區分。三是信息單嚮交互的風險。二維碼支付隻能實現發起方或接收方的單嚮驗證，不法分子若劫持客戶與商戶之間、商戶與後颱之間的通信網絡，截獲並惡意修改訂單等交易信息，易造成用戶資金損失。四是掃碼設備安全強度低的風險。二維碼支付對識彆設備要求低，且這些設備一般無加密、防拆機等安全功能，容易被不法分子侵入。

維權有點難——支付背後環節多責任主體難明確

近日，某私營企業負責人陳安在不法分子迷惑下泄露瞭自己的某支付機構付款碼，對方指示將付款條碼上的數字發過去，之後陳安的支付賬戶立刻被劃走499元。陳安說，找客服投訴後，支付機構隻說後颱審核，如果對方賬戶存在風險，會采取凍結賬戶的手段。“但現在幾個月過去瞭，不僅對方賬戶沒有凍結，被騙的欠款也沒能要迴來。”

“二維碼犯罪隱蔽性強、傳染性快，但電子證據獲存睏難，相關規定不健全，維權成本高。製作和發布的實施主體和責任承擔主體難以明確鎖定，增加瞭訴訟的不確定因素。”京師律師事務所律師左勝高認為。

一位網絡安全從業人員稱，近年來涉及二維碼的案件很多，其中包括非法獲取公民信息、詐騙、盜刷等。對於像二維碼這樣的新興技術在多領域的應用，相關監督管理部門還未齣颱較為有效的規章和監管機製。

北京大成律師事務所律師肖颯認為，當用戶遭遇二維碼支付安全問題時，應該先確認在支付的哪個環節産生瞭問題，明確責任歸屬;其次，確定相應漏洞環節的負責人或負責機構，嚮其提齣投訴或舉報，由相關方進行專門處理;若遭遇“非法二維碼”，無有關方負責，則可嚮有關部門報案或控告，根據其行為侵犯自身權益的性質與程度決定處理方式。“目前二維碼支付的發案率高，但對於普通用戶來說，維護自身的權益確實難度很大。”肖颯說。