二维码支付存隐患：暗藏“李鬼” 易携带恶意代码

本篇文章2050字，读完约5分钟

中国人民银行发布的条码支付业务标准自4月1日起实施。本标准主要针对支付风险控制措施较少、安全性较低的静态条码，明确了同一客户银行或支付机构一天的累计交易金额不得超过500元。二维码扫描技术为公众生活提供了便利，但也暴露出一些安全隐患。通常被称为“扫描”的二维码支付的风险点是什么？

存在安全隐患-

普通李鬼二维码

轻微的疏忽很容易被愚弄

扫描二维码似乎很方便，但稍有疏忽就会造成麻烦。特别是二维码也可能成为一些人非法集资的渠道。广东省江门市的大学生曾腾(音译)用手机扫描楼下一辆共享自行车上的二维码。扫描后，他的手机自动跳转到支付页面，并要求299元的存款。

“对方是付款账户。当时我有点焦虑。我选择不仔细看就确认付款。”曾腾说，他付款后无法解锁汽车，自行车软件也没有显示押金支付成功。他意识到自己可能被骗了。仔细观察了刚才扫描的二维码后，他发现是一张贴纸，上面覆盖着车身本身携带的二维码。

“二维码技术最初是一种识别访问技术，并不是专门用于电子商务，因此缺乏一种能够评估和识别二维码信息的机制，以保护消费者在交易过程中的安全。空交通大学网络学院院长李建华表示，消费者很难正确识别和验证二维码的可靠性。每个二维码图像看起来都很普通，但实际上它包含了复杂的信息，这就给用户识别带来了不便。

很难确定——

生产进入壁垒低

容易携带恶意代码

这似乎是一个简单的二维码，但一般公众很难识别它。为什么二维码支付存在安全隐患？主要的风险点是什么？

中国人民银行支付结算部相关负责人表示，二维码支付流程分为支付指令生成和处理两个阶段。指令处理阶段与传统银行卡和普通互联网支付流程相同。二维码支付的风险点主要集中在指令生成阶段的二维码生成和识别。

"技术问题是潜在安全隐患的重要原因."清华大学数据科学研究所二维码安全中心副主任沈伟说:“二维码的编码系统有国家标准。目前，我们使用的二维码是国际标准，也是我国的国家标准。虽然技术上有国家标准，但二维码的应用却没有相应的标准。公众二维码无人监管，支付前二维码管理缺失，缺乏监管的原因是缺乏技术手段。”

“只考虑扫描代码是否方便，我没有意识到QR码本身也可能携带木马病毒和网络钓鱼软件。”住在湖北武汉的王先生曾经在地铁入口处看到过扫描二维码发送湿巾的广告。扫描后，他的手机自动跳转到软件下载页面，开始下载。那天晚上，他的手机突然收到银行的短信，说有将近4000元的费用。后来发现当天扫描的二维码含有恶意演绎病毒。

沈伟表示，二维码类型是开放的，目前二维码生产的准入门槛很低，所以任何人都可以轻松做到。如果有人制作了恶意的二维码，用户在扫描二维码后可以访问隐藏在二维码后面的虚假链接和虚假网站，他们可以通过网站非法骗取资金和窃取身份信息。目前二维码市场缺乏控制手机扫描码的安全技术，二维码在应用层面没有监管，也没有相应的技术跟进。

据中国人民银行支付结算部相关负责人介绍，二维码支付的主要风险点包括四个方面。一个是二维代码可视化的风险。犯罪分子很容易通过手机病毒的截图窃取或骗取用户的支付代码，或者到处张贴假冒商家的支付代码非法获取资金。其次，它很容易携带恶意代码。二维码不仅可用于支付，还可用于存储恶意程序代码、非法链接等。凭直觉很难区分真假。第三，单向信息交互的风险。二维码支付只能实现发起者或接收者的单向认证。如果犯罪分子劫持客户与商家、商家与后台之间的通信网络，拦截并恶意修改订单等交易信息，很容易给用户造成经济损失。第四，代码扫描设备安全强度低的风险。二维码支付对识别设备要求不高，这些设备一般没有加密、防拆卸等安全功能，容易被犯罪分子入侵。

权利保护有点困难-

付款背后有许多环节

责任的主体很难澄清

最近，一家私营企业的负责人安辰被犯罪分子欺骗，泄露了他的支付机构的支付代码。对方指示发送支付条形码上的号码，然后安辰的支付账户立即被借记499元。安辰表示，在寻找客户服务投诉后，支付机构只表示将在后台进行审计，如果对方账户存在风险，将冻结账户。“但现在几个月过去了，不仅对方的账户没有被冻结，而且被骗取的欠款也没有归还。”

“二维码犯罪具有隐蔽性和传染性，但电子证据难以获取，相关法规不完善，维权成本高。很难明确锁定生产和释放的主体和责任的主体，这就增加了诉讼的不确定性。”左律师事务所律师认为。

一名网络安全从业人员表示，近年来，已经发生了多起涉及二维码的案件，包括非法获取公民信息、欺诈、盗窃等。对于二维码等新技术在许多领域的应用，相关监督管理部门还没有出台有效的法规和监督机制。

北京大成律师事务所律师肖伟认为，当用户遇到二维码支付安全问题时，应该首先确认是哪部分支付造成了问题，并明确责任；其次，确定相应漏洞链接的负责人或负责机构，并向其投诉或举报，由相关方处理；如果遇到“非法二维码”且相关方不负责任，可向相关部门举报或起诉，并根据其侵犯自身权益的性质和程度决定如何处理。“目前，二维码支付的发生率很高，但普通用户很难保护自己的权益。”肖洒说。