日前，南京市民劉先生在掃描摩拜單車(chē)二維碼時(shí)，出現了本不該出現的轉賬提示，于是向警方報案。當地有些市民也發(fā)現，掃描摩拜單車(chē)上的二維碼后，如果不注意很可能錢(qián)就被轉走了。

虛假二維碼騙局并非孤例。在廣東破獲的一起二維碼詐騙案中，犯罪分子通過(guò)掃碼盜刷獲利90余萬(wàn)元。

作為移動(dòng)互聯(lián)網(wǎng)的入口，二維碼已被廣泛應用于社交媒體、移動(dòng)支付、產(chǎn)品促銷(xiāo)、應用程序下載等方面。“新華視點(diǎn)”記者調查發(fā)現，由于制碼技術(shù)幾乎零門(mén)檻，不法分子將病毒、木馬程序、扣費軟件等植入二維碼，消費者掃碼被盜刷現象時(shí)有發(fā)生。

“掃一掃”背后的詐騙陷阱：覆蓋正規碼、木馬植入、遠程復制

針對消費者掃碼遭詐騙，摩拜單車(chē)負責人稱(chēng)，單車(chē)上的正規二維碼都是用釘子釘在車(chē)身上的，車(chē)費必須通過(guò)APP支付。車(chē)身上發(fā)現的二維碼是后貼上去的，覆蓋了原二維碼，用戶(hù)掃描的是不法分子的詐騙二維碼。

在廣東，佛山公安局禪城分局發(fā)現一起數十家店鋪的收銀柜臺均被張貼虛假二維碼案件。犯罪嫌疑人更換商家收款二維碼，通過(guò)植入木馬病毒的虛假二維碼，獲取消費者的手機信息和密碼，進(jìn)行網(wǎng)絡(luò )盜刷。一共作案320余起，獲利90余萬(wàn)元。

記者調查發(fā)現，除了用虛假二維碼覆蓋正規二維碼實(shí)施詐騙，還有不法分子直接誘導用戶(hù)掃描帶有木馬病毒的二維碼。比如，浙江就多次發(fā)現不法分子以?huà)叽a得紅包的形式誘導用戶(hù)，一旦用戶(hù)掃碼后，手機會(huì )感染木馬病毒，各種信息都被竊取了。

此外，有些不法分子通過(guò)拍照、截圖、遠程控制等方式獲取用戶(hù)付款二維碼，盜刷用戶(hù)銀行卡。浙江臺州微商趙女士就是一個(gè)受害人。在網(wǎng)絡(luò )交易過(guò)程中，不法分子以自己支付寶余額不足為借口，提出讓趙女士將付款碼發(fā)給自己掃碼付款。收到付款碼截圖后，不法分子隨即進(jìn)行復制，盜刷了趙女士的銀行賬戶(hù)。

“付款碼相當于銀行卡加密碼，不要輕易發(fā)給他人。”專(zhuān)家介紹，不法分子只要獲取了，就可以進(jìn)行復制，獲取銀行賬戶(hù)和密碼。

“現在我都不敢隨便掃碼了，一不小心就可能被騙。可是現在生活中要用到二維碼的地方又這么多，真是讓人糾結。”杭州市民陳小姐說(shuō)。

“以二維碼作為入口的新型互聯(lián)網(wǎng)詐騙案件層出不窮，一些不法分子將手機木馬或惡意軟件披上二維碼的外衣在移動(dòng)終端廣泛傳播。由于缺乏相關(guān)知識，沒(méi)有防范警惕性，消費者個(gè)人很難防范。”浙江省網(wǎng)警總隊有關(guān)負責人說(shuō)。

專(zhuān)家稱(chēng)制碼技術(shù)門(mén)檻幾乎為零，騙子可輕易制“毒碼”

業(yè)內人士介紹，二維碼就是一張能存儲信息的擁有特定格式的圖形，能夠在橫向和縱向兩個(gè)方位同時(shí)表達信息，能在有限的面積內表達大量信息。個(gè)人名片、網(wǎng)址、付款和收款信息等都可以通過(guò)二維碼圖案展現出來(lái)。

據了解，目前我國廣泛使用的二維碼為源于日本的快速響應碼（QR碼），由于當時(shí)國內沒(méi)有自主知識產(chǎn)權的二維碼，市場(chǎng)幾乎被QR碼占據。QR碼沒(méi)有在國內申請專(zhuān)利，采取了免費開(kāi)放的市場(chǎng)策略。“這也意味著(zhù)誰(shuí)都可以通過(guò)網(wǎng)絡(luò )下載二維碼生成器。只需要將發(fā)布的內容粘貼到二維碼生成器上，軟件隨即生成用戶(hù)所需的二維碼。”杭州某網(wǎng)絡(luò )安全公司工程師鄭孵說(shuō)。

記者在網(wǎng)上搜索“二維碼生成器”，發(fā)現了205萬(wàn)多個(gè)搜索結果，大部分的二維碼生成軟件可以直接在線(xiàn)使用。記者在首頁(yè)選定了某一在線(xiàn)二維碼生成平臺，輸入文字、圖片、郵箱、網(wǎng)址后，瞬間就轉換成了二維碼。

“二維碼的制作生成沒(méi)有任何門(mén)檻。一些不法分子將病毒、木馬程序、扣費軟件等的下載地址編入二維碼，用戶(hù)一旦掃描，手機就會(huì )被植入的病毒木馬感染，身份證、銀行卡號、支付密碼等私人信息就會(huì )被盜取。”阿里安全部資深品牌經(jīng)理沈杰說(shuō)。

“任何人都可以制作二維碼，而且生成的二維碼沒(méi)有辦法溯源，也沒(méi)有相關(guān)的管理機構提供認證，這給警方偵破二維碼詐騙案帶來(lái)了很大困難。”浙江省網(wǎng)警總隊工程師介紹。

建立回溯機制明確監管主體

鄭孵介紹，目前，二維碼的生產(chǎn)和流通并沒(méi)有明確的主體進(jìn)行統一的管理。雖然一些部門(mén)開(kāi)始逐漸意識到二維碼存在的巨大安全隱患，但還沒(méi)有相關(guān)法律法規和具體舉措。

“主管部門(mén)應該使用技術(shù)手段對二維碼進(jìn)行域名解析，通過(guò)設立專(zhuān)門(mén)的監管平臺對二維碼進(jìn)行檢測，過(guò)濾不良信息。”浙江工業(yè)大學(xué)計算機科學(xué)與技術(shù)學(xué)院陳鐵明教授建議，“可以考慮建立二維碼中心數據庫，對市面上流通的二維碼進(jìn)行備案登記，將所有二維碼數據統一存放在一個(gè)中心數據庫，實(shí)現對二維碼生成流通環(huán)節的有效追溯。”

“在管理層面上，有關(guān)部門(mén)應該對二維碼的發(fā)布內容進(jìn)行備案審查，對二維碼的發(fā)布平臺進(jìn)行資質(zhì)鑒定，對二維碼的發(fā)布者進(jìn)行實(shí)名登記，形成一整套完善的責任追溯機制。”陳鐵明說(shuō)。

浙江工業(yè)大學(xué)網(wǎng)絡(luò )空間安全協(xié)會(huì )研究人員鄭毓波認為，二維碼使用企業(yè)應該加強相關(guān)的防護。據了解，目前微信和支付寶已經(jīng)在軟件里加強了安全監控保護，確保用戶(hù)掃碼安全。支付寶公司近日宣布，從2月20日起，支付寶付款碼將專(zhuān)碼專(zhuān)用，只用于線(xiàn)下付款。這就避免了一些不法分子利用二維碼付款的機制實(shí)施轉賬詐騙。沈杰告訴記者，支付寶已經(jīng)自帶網(wǎng)址檢測功能，用于判定掃描的二維碼是否存在惡意鏈接。如果發(fā)現安全隱患，系統會(huì )發(fā)出安全提示，讓用戶(hù)判定是否需要進(jìn)入跳轉界面。

業(yè)內專(zhuān)家表示，用戶(hù)也需要提高掃碼安全意識。“不少人有不良的掃描習慣，看見(jiàn)二維碼就掃，很容易落入不法分子的陷阱。”鄭毓波說(shuō)，應該加大知識普及，讓大家了解二維碼編碼原理和二維碼發(fā)布機制，不隨意掃描來(lái)歷不明的二維碼，保護自己的信息安全。

二維碼支付概念股：證通電子、新大陸、新國都、航天信息、長(cháng)亮科技、安碩信息。