大家好!談談支付安全存
稍一疏忽易上當
“對方是個支付賬戶,當時有點著急,沒有細看就選擇了確認支付。”曾騰說,可支付後他並沒能開啟車鎖,單車軟體也未顯示押金支付成功。他這才反應過來,自己可能被騙了,再仔細觀察剛才掃描的那張二維碼,發現是一張貼紙,覆蓋了車體本身攜帶的二維碼。
2.識別難度大——
製作准入門檻低
易攜帶惡意程式碼
“光想著掃碼方便,根本沒意識到二維碼本身也可能攜帶木馬病毒、釣魚軟體。”家住湖北武漢的王先生曾在地鐵口看到掃二維碼送溼巾的廣告,手機掃描後自動跳轉到一個軟體下載頁面並開始下載。當晚他的手機突然收到銀行簡訊,稱有一筆近4000元的支出。事後查明,當天所掃的二維碼帶有惡意扣費病毒。
沈維說,QR二維碼的碼型是開放的,當前二維碼製作准入門檻低,任何人都能輕而易舉地製作。如果有人制作了惡意二維碼,使用者掃碼後接入隱藏在二維碼背後的假連結、假網站,就可以透過網站非法騙取資金、盜取身份資訊等。目前二維碼市場缺少安全技術手段對手機掃碼進行管控,QR碼在應用層面處於無人監管的狀態,並沒有相應的技術跟進。
3.華人民銀行支付結算司相關負責人介紹,二維碼支付的主要風險點包括四個方面。一是二維碼視覺化風險。不法分子易透過手機病毒的方式截圖盜取或欺騙獲取使用者付款碼,或四處張貼偽造商戶的收款碼,非法獲取資金。二是易攜帶惡意程式碼的風險。二維碼不僅可用於支付,也可用於儲存惡意程式程式碼、非法連結等內容,真偽難以直觀區分。三是資訊單向互動的風險。二維碼支付只能實現發起方或接收方的單向驗證,不法分子若劫持客戶與商戶之間、商戶與後臺之間的通訊網路,截獲並惡意修改訂單等交易資訊,易造成使用者資金損失。四是掃碼裝置安全強度低的風險。二維碼支付對識別裝置要求低,且這些裝置一般無加密、防拆機等安全功能,容易被不法分子侵入。
4. 維權有點難——
支付背後環節多
責任主體難明確
大家好!談談支付安全存
稍一疏忽易上當
“對方是個支付賬戶,當時有點著急,沒有細看就選擇了確認支付。”曾騰說,可支付後他並沒能開啟車鎖,單車軟體也未顯示押金支付成功。他這才反應過來,自己可能被騙了,再仔細觀察剛才掃描的那張二維碼,發現是一張貼紙,覆蓋了車體本身攜帶的二維碼。
2.識別難度大——
製作准入門檻低
易攜帶惡意程式碼
“光想著掃碼方便,根本沒意識到二維碼本身也可能攜帶木馬病毒、釣魚軟體。”家住湖北武漢的王先生曾在地鐵口看到掃二維碼送溼巾的廣告,手機掃描後自動跳轉到一個軟體下載頁面並開始下載。當晚他的手機突然收到銀行簡訊,稱有一筆近4000元的支出。事後查明,當天所掃的二維碼帶有惡意扣費病毒。
沈維說,QR二維碼的碼型是開放的,當前二維碼製作准入門檻低,任何人都能輕而易舉地製作。如果有人制作了惡意二維碼,使用者掃碼後接入隱藏在二維碼背後的假連結、假網站,就可以透過網站非法騙取資金、盜取身份資訊等。目前二維碼市場缺少安全技術手段對手機掃碼進行管控,QR碼在應用層面處於無人監管的狀態,並沒有相應的技術跟進。
3.華人民銀行支付結算司相關負責人介紹,二維碼支付的主要風險點包括四個方面。一是二維碼視覺化風險。不法分子易透過手機病毒的方式截圖盜取或欺騙獲取使用者付款碼,或四處張貼偽造商戶的收款碼,非法獲取資金。二是易攜帶惡意程式碼的風險。二維碼不僅可用於支付,也可用於儲存惡意程式程式碼、非法連結等內容,真偽難以直觀區分。三是資訊單向互動的風險。二維碼支付只能實現發起方或接收方的單向驗證,不法分子若劫持客戶與商戶之間、商戶與後臺之間的通訊網路,截獲並惡意修改訂單等交易資訊,易造成使用者資金損失。四是掃碼裝置安全強度低的風險。二維碼支付對識別裝置要求低,且這些裝置一般無加密、防拆機等安全功能,容易被不法分子侵入。
4. 維權有點難——
支付背後環節多
責任主體難明確