|
||||
一個不起眼的黑白相間的小方塊——二維碼,正在悄然改變着我們的生活方式:添加好友、下載優惠券、瀏覽網頁、視頻……“掃一掃”,逐漸成爲智能手機用戶的時尚用語,“不用二維碼,說明你out了”。
一個二維碼可壓縮至少1108個字節、相當於500多個漢字的信息,然而在帶來便利的同時,二維碼也暗藏安全威脅——“掃一掃”背後,常常隱藏釣魚鏈接,各地利用二維碼詐騙案件高發,甚至已形成病毒發佈、經驗交流、利益分成的違法利益鏈。
基於目前二維碼使用中出現的安全隱患,網絡安全專家給出防詐騙建議:
從技術上講,“掃一掃”前,手機用戶必須在手機上安裝加入監測功能的掃碼工具,比如手機QQ衛士、360安全衛士、手機管家等軟件,掃到可疑網址時,會有安全提醒,如果通過二維碼來安裝軟件,安裝好以後,最好先用殺毒軟件掃描一遍再打開。
要養成良好的二維碼使用習慣。一般來說,報紙、雜誌等正規出版刊物上的二維碼相對安全,而在網站、微博上發佈的不知來源的二維碼不能輕易掃描,須引起高度警惕。
手機二維碼在線購物、支付更要謹慎,與手機綁定的銀行卡內不宜存儲過大數額資金,避免發生連鎖反應。
如果遇到一打開就會自動下載安裝軟件的二維碼鏈接,就要提高警惕了,當它提示你下載時,千萬不要輕易下載安裝。
支付寶話費存款一“掃”而空
春節前夕,河南的淘寶店主王先生向360網購先賠中心舉報,說有買家以購買多款商品爲由,要求其掃描二維碼,結果卻被盜刷了支付賬戶。360互聯網安全中心對該二維碼進行檢測後發現,該二維碼竟暗藏短信劫持的“隱身大盜”木馬,中招者手機中的短信會被自動轉發到黑客手機上,黑客能輕而易舉地利用短信更改密碼並伺機消費。
王先生告訴記者,當時有買家說要和同學一起購買多款商品,擔心買錯款式,他們就用手機做了一個二維碼清單,這樣王先生用手機一掃描就能知道他們要買什麼了。然而,王先生掃描完二維碼後就跳轉到一個文件下載頁面,等安裝並打開名爲“購物清單”的apk文件後,看到的卻是亂碼,根本沒有任何商品信息。
“我再去問買家爲何看不到時,他已經下線了。”王先生告訴記者,他沒在意就關電腦去睡覺了,但第二天卻發現支付寶賬戶被人盜刷了三千多元,全部購買了網遊點卡。
淘寶“重鎮”杭州,近期也多次發生通過手機二維碼植入病毒進行詐騙、盜竊的案件。杭州一對母女在不到半小時內被騙走200多萬元,另一位何先生也被人以同樣的手段騙走152萬元。
在太原市,家住五一路的李女士也遭遇了二維碼陷阱。她在一個掃二維碼贏優惠券的網站上掃了一下二維碼,而後手機就中了病毒,把她剛充好的120元話費“掃”沒了。
記者在百度貼吧中看到,網名爲“月明星稀”的網友發帖稱:“前幾天,我上網購物,看見一賣衣服的店裏有二維碼,說是掃掃就可以打折優惠,我就掃了一下。第二天早上,我就接到中國移動‘欠費100元’的短信,打電話詢問才知道,工作人員說有的二維碼有病毒,很可能被病毒鏈接的惡意扣費軟件扣費了。”
二維碼是否有毒很難辨別
二維碼爲何成爲了不法分子的幫兇?
“簡單來說,二維碼就是一個鏈接、一個介質,本身沒有毒,加上帶毒的鏈接才變成‘毒碼’。”360網絡安全專家安揚告訴記者,二維碼可以存儲各種信息,同時也會被黑客利用來存儲病毒軟件,而對於普通市民來講,二維碼是否有病毒信息很難辨別,消費者用手機掃二維碼時,很可能下載到病毒。
以淘寶店主王先生爲例,他正是遭遇了典型的二維碼釣魚欺詐。“當他下載並運行了所謂的‘購物清單’文件後,暗藏的‘隱身大盜’木馬就成功入侵了他的手機。”安揚介紹,這種木馬啓動後會發送激活短信和受害者的手機號給黑客,接着受害者手機中的涉及到銀行、密碼、驗證碼等“廣播短信”就會被木馬攔截並轉發給黑客,然後黑客會利用其手機號作爲支付寶用戶名,進行短信重置密碼的操作,再通過其他渠道獲取到受害者的身份證號等詳細信息,從而盜刷受害者的網銀。
安揚說,由於手機短信被攔截,黑客的這些操作受害人是完全看不到的,一旦掉入此類二維碼陷阱,賬戶可能將被騙子洗劫一空,360網購先賠已經接到多起類似報案,就有受害人在完全不知情下被盜刷了上萬元。
“確實,僅從二維碼錶面看,難以辨別其包含信息是否安全。”中國電子技術標準化研究院副總工程師王立建說,安全使用二維碼只能靠終端辨別,而用戶稍有疏漏,一旦掃描二維碼並打開其中鏈接,就極易感染病毒。
生成一個毒碼真的很簡單
記者瞭解到,目前,任何機構和組織均可隨意發佈二維碼,傳播過程中沒有進行有效過濾,極易被不法分子所利用——從某種程度上講,“毒碼”氾濫,與二維碼生成簡單有很大關係。
記者就此詢問過中國電子技術標準化研究院一位技術人員,據他介紹,將帶有病毒程序的網址鏈接生成一個二維碼,其實並不存在技術門檻,只需在互聯網上任意搜索一款“二維碼生成器”,然後把病毒軟件的下載地址粘貼到二維碼生成器,立即就能生成一個迷宮似的二維碼圖片,整個過程甚至不用1分鐘。
記者爲此進行試驗發現,生成一款有毒二維碼的確很容易。
“帶有惡意鏈接的二維碼生成後,往往被隱藏在打折信息或促銷廣告裏,只要有人掃描就會中招。這種在網上隨意生成的二維碼,行業內稱之爲‘無源二維碼’,也就是沒有同一合法源頭,無法追蹤,也很難監管。”這位技術人員說。
“可以說,任何可以吸引眼球的地方,都可以設置投放二維碼廣告,因此通過全面展開監測的手段來達到監管目的,難度較大。”北京京倫律師事務所律師曹旭升說,目前來看,二維碼廣告不僅可以投放在報紙、雜誌、廣告牆等傳統平面媒體上,而且可以投放在站牌、車體、車票甚至產品本身等所有有形物體之上,除了有形物體也可以投放在手機短信、電視畫面、網絡頁面等虛擬空間之中。
“由於二維碼製作的簡易性,在實際的調查中也會出現取證困難的情況。”曹旭升指出,由於二維碼製作和發放的記錄可以隨時刪除,一旦廣告主和廣告發布人否認違法事實,如何充分有效地蒐集固定證據成爲一個難點。
“而且二維碼作爲一項編碼技術,存在致命的缺陷,那就是可能遭到破譯——任何一個使用二維碼投放廣告的經營主體,其廣告內容中涉及的產品或服務經營者有可能是破譯之後的冒充者,工商部門查處時也會很難界定到底該廣告是否屬於廣告內容中經營者的行爲。”曹旭升補充。
技術標準工商監管須完善
“二維碼的應用是大勢所趨,不能因爲詐騙事件的出現而因噎廢食。”中國電子商務協會政策法律委員會主任楊堅爭向記者表示,手機攝像頭和二維碼識別軟件結合,相當於每個手機用戶都擁有了一臺便攜式的讀碼機,隨着移動互聯網技術的進步,作爲一項更先進、更有效率的編碼方式,二維碼終將替換現有的條形碼。
楊堅爭認爲,對於監管部門來說,二維碼的使用標準以及針對移動互聯網安全的法律法規體系的建設和完善迫在眉睫,亟須從門檻、資質、認證、備案等方面入手,進一步規範市場發展環境,保護用戶的合法權益。
據瞭解,中國電子商會物聯網技術產品應用專業委員會二維碼專項工作組已於去年成立,並推出了國家物聯網二維碼公共服務平臺,制定和推廣二維碼技術標準。
目前,中國電子商會物聯網專委會和中國二維碼產業聯盟正在牽頭開展基於國際通用OID體系的二維碼標識符(簡稱i-OID)註冊、分配、管理與服務,併成立了國家i-OID註冊中心。中國二維碼產業聯盟祕書長張超介紹,針對有毒二維碼以及詐騙行爲,納入國家i-OID註冊中心體系的二維碼,可以根據i-OID編碼找到源頭。
然而,僅僅有技術標準,顯然難以根治二維碼的安全隱患。曹旭升認爲,面對二維碼這種新型營銷模式,相關部門須儘快做出反應,以適應科技發展帶來的新問題。他建議,應升級監管工具,加大市場監測力度,爲基層配備完善監管工具,將二維碼廣告監測納入日常監管體系。
針對二維碼容易遭到破譯的難題,他建議發佈二維碼廣告的廣告主向當地工商所進行報備,工商所要按照屬地管轄的原則進行檔案登記,建立電子數據庫,將報備的二維碼複製保存在數據庫當中。“一旦發現沒有報備的二維碼廣告和廣告內容與報備內容不符的廣告,立即展開調查處理,嚴厲打擊利用二維碼廣告進行虛假宣傳、商標侵權等違法行爲。”曹旭升建議。
安揚指出,需要加強對“我查查”、“快拍二維碼”等軟件製作公司監管,要求公司建立誠信經營相關制度,嚴格審覈公司數據庫中的二維碼信息,從源頭上杜絕帶有“虛假宣傳”和“消費欺詐”等信息的二維碼被推上市場。(記者王曉雁)