資訊洩露致盜用欺詐頻發，該如何遏制與二維碼有關的違法犯罪？

十年前，不帶現金出門，

寸步難行；

十年後，帶現金出門，

有時卻無用武之地，

伴隨著移動支付滲透到生活的方方面面，

可以說，“無現金時代”已經到來。

然而，在條碼生成機制和傳輸過程中

仍存在風險隱患。

“

“在開放環境下，移動支付風險正逐漸成為主要風險型別，並呈現出隱蔽性、複雜性、交叉性等新趨勢，移動手機端發生的賬戶盜用和欺詐呈現高發態勢，給使用者資金造成嚴重損失。”在6月6日由中國支付清算協會舉辦的“2018年移動支付安全便民宣傳週啟動儀式暨移動支付安全與創新研討會”上，中國支付清算協會副秘書長馬國光說。

”

01支持者：生活更便利

北京某購物中心停車場管理員潘師傅說：“之前車輛進出時，停車、取卡、交費，整個過程至少需要半分鐘，車多的時候會更久；有了‘ETCP停車’後，車輛進出不需要停下等待交費，整個過程只需兩秒，不僅使用者方便了，停車場秩序也更好了，這種技術真應該在每家商場都用上。”

的確，無現金社會越來越多地被提及，甚至已經開始有人進行倒計時。

不過，在這樣的大環境下，也有一批人在“逆勢而行”，拒絕甚至厭惡移動支付。

在北京從事金融工作的郭濤就是堅定的現金使用者。讓他感受到自己成為異類，是在一年前的一次聚會上。

“當時聚會結束，大家爭著結賬。可就在我從錢包裡抽出一沓錢做奮勇狀時，卻沒有收穫應有的尊重。同行者已經安靜地掃碼、付款、確認，一切都無比流暢而安靜。最後，同行者看著我說，‘現在誰還用現金啊’。”回憶當時的場景，郭濤說，“那一刻，他看著我，好像阿爾法狗看著一個圍棋初學者一樣。那一刻，我感受到了《三體》中所描述的，高維對低維的降維打擊。”

這次打擊，讓郭濤開始關注身邊的無現金生活，上下班地鐵、公交可以刷卡，吃飯、買東西全部都可以用微信、支付寶以及刷銀行卡來完成。

“我還發現了一個以前被我忽略的事實，幾乎所有的小商販都可以用移動支付完成交易，不管他是賣雞蛋灌餅還是煎餅果子，不管他是手機貼膜還是賣西瓜，都會把微信和支付寶兩個二維碼印得清晰而醒目。”郭濤說，僅有的限制是，有一次孩子幼兒園組織家長捐款，只能用現金，不可以用移動支付。

02

拒絕者：安全在裸奔

無現金社會，在去年成為一個熱詞。支付寶和微信支付甚至分別推出了“無現金城市周”和“無現金日”，讓這一概念變得如日中天。

所謂無現金社會，概言之，就是移動支付社會。這個概念的興起，代表了中國移動支付市場開始向縱深推進，從商業交易到公共事務，從線上場景到線下場景。

縱使如此，對於一些拒絕移動支付的人來說，他們的理由也比較充分。比如郭濤，安全問題是他拒絕移動支付的主要原因。

近年來，移動支付在快速發展、改進使用者體驗、便利群眾的同時，其風險也隨之發生新的變化和轉移。

“就像某一天，從你出門打車、在地鐵口買早餐、午餐訂外賣、星巴克下午茶、路邊攤買水果，再到露天吃燒烤，這一切的消費行為都無現金，透過移動支付解決，由此產生一批又一批的交易資料。日復一日。透過這些資料，你的消費記錄與生活習慣被相關公司甚至產業牢牢掌控。它們比你的家人和朋友更瞭解你，甚至比你自己更瞭解你。在它們面前，我們很可能是裸露的，並且無處可藏。”郭濤說，到目前為止，這些公司掌控資料的行為以及如何合理保護使用者的隱私，似乎並沒有實質性的監管，“這就是無現金社會的另一面。在某種意義上，我們無路可退，也無處可去”。

隨著移動支付市場的不斷擴大，一些不法分子逐漸將黑手伸向移動支付使用者。其作案手段專業化、團伙化，透過網路的聯絡，甚至一些素未謀面的不法分子也可以分工協作，逐漸形成黑色產業鏈。

拖庫、洗庫、撞庫的“駭客”——這是蔣興鵬對於移動支付中存在的“網際網路幽靈”的表述。

“近年來，國內關於使用者隱私資訊被竊取的事件時有發生。網路黑色產業鏈已經呈現低成本、高技術、高回報的爆發性增長態勢，越來越多的網路黑產分子透過拖庫、撞庫盜取使用者個人資訊，給網民造成了金融資產和個人資訊保安等多方面的危害。”蔣興鵬說，在這些洩露的資訊中，最容易被網路黑產集團利用牟利的就是個人姓名、手機號碼、身份證號碼和銀行卡號，這是直接關係賬戶安全的四個要素。這些資訊大多會被出售給黑市中的詐騙團伙和營銷團伙，用來進行詐騙和惡意營銷，“駭客透過入侵有價值的網路站點，盜走使用者資料庫，這個過程在地下產業術語裡被稱為拖庫。在取得大量使用者資料後，駭客會透過一系列技術手段清洗資料，並在黑市上將有價值的使用者資料變現交易，這通常被稱作洗庫。最後，駭客將得到的資料在其他網站進行嘗試登入，叫撞庫”。

03

核心問題：技術之痛

除此之外，還有移動支付安全的技術安全問題。

今年以來，透過社交網路平臺、欺詐App軟體、惡意二維碼等進行詐騙的案件頻發，移動支付安全已經成為使用者最擔心的問題之一。去年，銀聯累計協助公安機關查辦案件3。18萬件，其中涉及銀行卡約92。36萬張，金額4582億元。

“技術問題是存在安全隱患的重要原因。”清華大學資料科學研究院二維碼安全中心副主任沈維說，“掃碼支付的二維碼碼制有國家標準，目前我們使用的QR碼是國際標準，也是我國的國家標準。技術上雖然已經有了國家標準，但二維碼在應用上還沒有相應的規範。公開的二維碼無人監管，且支付前的二維碼管理缺失，而監管缺位的原因在於缺少技術手段。

“手機木馬病毒是移動支付環境中最大的毒瘤，其中支付類病毒行為中佔比比較多的為執行反射，也就是駭客為了逃避反編譯，透過某種隱藏方式來呼叫某些API介面的行為模式。其次是隱私資料也就是手機資訊上傳佔比比較多。同時，許多支付類病毒還會靜默聯網、靜默刪除和傳送簡訊，主要是將使用者的驗證碼資訊轉發到另一終端，從而實現銀行卡的盜刷。”蔣興鵬說，另外，釣魚網站也是網路黑產竊取使用者資訊的一個慣用手段。所謂釣魚網站即域名和頁面都和正常網站非常相似的假網站，通常會模仿銀行或者電信運營商的官方網站，誘導使用者在釣魚網站上輸入個人資訊。

“二維碼犯罪隱蔽性強、傳染性快，但電子證據獲存困難，相關規定不健全，維權成本高。製作和釋出的實施主體和責任承擔主體難以明確鎖定，增加了訴訟的不確定因素。”北京律師左勝高認為。

一位網路安全從業人員稱，近年來涉及二維碼的案件很多，其中包括非法獲取公民資訊、詐騙、盜刷等。對於像二維碼這樣的新興技術在多領域的應用，相關監督管理部門還未出臺較為有效的規章和監管機制。

對此，銀聯近日釋出一則安全提示稱，隨著經濟領域犯罪活動日益複雜，金融支付違法犯罪活動層出不窮，並呈現出技術含量高、傳播速度快、跨境跨網路實施等新特點。為防範各類新型欺詐手法，消費者需要做好安全防範，養成謹慎上網、磁條卡要換“芯”以及認真看籤購單等好習慣。

無現金支付進入生活方方面面

資訊洩露導致盜用欺詐頻發

移動支付該怎樣找到

安全與效率平衡點

又該如何遏制與二維碼有關的違法犯罪

下面，一起聽聽專家怎麼說…

近年來，隨著支付標記化等技術在移動支付中的廣泛應用，客觀上提高了二維碼支付的安全標準。中國人民銀行指導相關市場主體積極提升技術水平，制定相關技術標準，規範二維碼支付業務開展。

央行此前釋出的條碼支付業務規範已於2018年4月1日起實施，針對條碼支付技術風險，提出了一系列針對性要求。比如，加強條碼安全防護，採取支付標記化、有效期控制、條碼防偽識別等手段，提升條碼生成、儲存、展示、識讀、解析、使用等環節的安全防護能力，有效保障條碼的可靠性和有效性。

由於靜態條碼易被篡改或變造、易攜帶木馬或病毒，央行規定，使用靜態條碼進行支付的，無論使用何種交易驗證方式，同一客戶銀行或支付機構單日累計交易金額應不超過500元。支付新規還要求，做支付的機構必須要有牌照：“支付機構開展條碼支付業務，應按規定取得相應的業務許可，並按相應管理辦法規範開展業務。”

中國社科院中國社會科學評價中心主任荊林波認為，二維碼支付若想健康發展還面臨一些問題。比如，常見的二維碼QR碼在2000年成為國家標準，前幾年國家出臺了二維碼的有關政策，但目前還未對二維碼釋出一個全面標準。“除了制定二維碼支付業務規範，國家應加強二維碼支付的頂層設計，制定全面的行業標準，並在全國範圍內廣泛推廣和使用我們的國家標準。”荊林波說。

中國政法大學智慧財產權中心特約研究員趙佔領認為，涉二維碼違法犯罪有兩種形式比較常見：

一種是把釣魚網站連結做成二維碼，再透過優惠促銷等形式誘使人們去掃；

還有一種是把一些病毒、木馬製作成二維碼，掃完之後手機就會中毒，手機裡的賬號資訊和個人資訊就可能洩露。

如今，二維碼在生活中可謂無處不在，那麼該如何遏制與二維碼有關的違法犯罪？

想要讓“掃一掃”更安全，離不開監管部門和市場機構的努力，需要使用者自身提高防範意識，加強自我保護。

業內專家提醒，對於網店、商家來說，不要輕易掃描陌生人傳送的二維碼連結，注意審查陌生人的身份以及購物需求的真實性，防止二維碼中攜帶木馬病毒，導致個人金融賬戶被盜。一旦手機金融賬戶發生異常，使用者應及時與相應機構聯絡，啟動應急機制，避免損失擴大。“掃一掃”行為的背後可能隱藏著巨大的安全隱患，比如個人資訊的洩露，也有可能存在某些不法行為，尤其不要輕易提供個人的姓名、身份證、銀行卡、電話、通訊住址等資訊。即使是可信的二維碼應用，也有可能受到某些駭客不法分子惡意的利用變成惡意的二維碼，應時刻保持警惕。

“無論掃描二維碼還是製作二維碼，都是一種客觀中立的技術。目前對於製作二維碼的工具還沒有太好的管理手段。目前看來，應該採取社會共治的方式，再採用一些技術手段。”趙佔領說。

“對二維碼生成、使用的企業來說，要儘量建立二維碼生成可溯源制度，透過程式碼添附等技術手段，使每一個二維碼的生成可以追溯到製作者的身份，對製作者身份進行實名認證，但要考慮這個成本不能過高，找到效率與安全的平衡點。”趙佔領說。