“隨手掃一掃,精彩禮物等你拿!”“掃描二維碼,加入官方購物群!”說起二維碼,你不會感覺到陌生。如今,在餐廳、捷運、商場,甚至在街邊小廣
“隨手掃一掃,精彩禮物等你拿!”“掃描二維碼,加入官方購物群!”說起二維碼,你不會感覺到陌生。如今,在餐廳、捷運、商場,甚至在街邊小廣告上,二維碼已無處不在。
可是,由掃二維碼帶來的風險也日益顯現。
近日,江夏區檢察院公佈一起案件:江夏一女子網上購物,店主稱掃二維碼送“紅包”,卻不料,這一掃便掃出了麻煩,不但中意的衣服沒有拍到,顧客的支付寶帳戶也少了1.8萬餘元……
360安全中心發佈的相關報告也顯示,植入手機端的釣魚木馬正持續升溫。“掃一掃”的風險有多大?又該如何防範掃碼風險?
掃碼送紅包1.8萬元被“掃”走了
去年12月13日,像往常一樣,住江夏的朱女士在淘寶上尋找自己中意的寶貝。當她看到一件價值500元的毛衣後,很是喜歡,就拍了下來。讓她驚喜的是,剛拍下寶貝,店家便跟她聯系,說是要送她“紅包”,只要掃一下二維碼。朱女士想著快到年底了,可能真的是店家在促銷,不加思索就拿起手機對著店家發過來的二維碼掃了一下。
卻不料,這一掃,便掃出了麻煩。
朱女士再次上網發現,不但中意的衣服沒有拍到,自己的支付寶帳戶還少了18112元。
慌了神的她立即報警,警方讓朱女士拿著立案號,立刻聯系支付寶客服。很快,支付寶方面將朱女士帳戶凍結。經查,騙子用朱女士的支付寶帳戶,在網上拍下4部蘋果5S手機,並通過朱女士的支付寶帳戶付款18112元。
而支付寶帳戶之所以出現問題,是因為朱女士手機掃碼後“中毒”。
今年1月17日,警方在浙江余姚市將犯罪嫌疑人李某抓獲。李某交代,他還另外作案一起,利用上述同樣的伎倆,先後10次使用受害人尹女士的支付寶帳戶購買總額為6896元的商品。
二維碼藏毒攔截簡訊改支付寶密碼
近日,李某因涉嫌盜竊罪被移至江夏區檢察院審查起訴。
李某使用的是什麼伎倆?怎麼手機掃了一下二維碼,支付寶帳戶就被盜了?
據到案後的李某交代,他在一個QQ群裏認識了網友宋某(已涉嫌傳授犯罪方法罪被起訴),宋某傳給他一個“apk”木馬程式,他把該木馬放到網盤裏,然後生成一個二維碼。
之後,李某又花150元買到一個淘寶店鋪,然後傳上一些時尚漂亮衣服的照片,價格定得較低。只要顧客有意向購買,他便會發二維碼給顧客,承諾“只要手機掃碼,便能優惠”。“顧客掃了後,下載安裝apk,木馬便植入手機,我很快就能知道手機號。支付寶帳號很多就是手機號。”至於密碼,李某說,他會用支付寶密碼“手機校驗碼找回”功能,支付寶會給綁定手機發一個校驗碼簡訊。而木馬能攔截簡訊,並自動發到李某的手機上來,受害者本人卻看不到。李某表示,有了校驗碼,他就可修改支付寶登入密碼,而且能截取淘寶、銀行發過來的驗證碼簡訊,很容易劃走帳戶內的錢。
二維碼製作一分鐘就可輕鬆完成
360安全中心於去年12月發佈的“網購先賠”報告顯示,植入手機端的釣魚木馬正持續升溫,而二維碼逐漸成為騙子發送木馬、釣魚攻擊智能手機用戶的新興通路。利用二維碼傳播手機木馬、盜取用戶錢財的案件頻頻發生。
昨日,記者邀請專業製作二維碼的武漢矽感科技有限公司工作人員,實地演示二維碼的製作,並對二維碼病毒進行測試。
工作人員首先下載了兩個帶有病毒的程式,分別是“某抽獎活動”和“某交友網站”,這也是當下經常遇到的兩種網絡詐騙。然後將病毒程式上傳至網盤,並複製下程式的連結。
接著,試驗人員通過網絡蒐索,找到一個線上二維碼生成器。這種生成器在網絡上很普遍,很容易找到。
工作人員將“某抽獎活動”的病毒連結輸入到生成器左側的空白區域內,點擊下麵的“繼續生成”按鈕,一個二維碼就製作完成。整個過程,不到一分鐘就可以完成。
緊接著,工作人員用自己的手機掃了掃生成的二維碼,掃碼後出現的正是“某抽獎活動”的連結,打開便是各種中獎資訊。試驗員介紹,如果繼續操作下去,手機將中毒,手機資訊將被掌控。不法分子正是用這種方法,掌控手機資訊而修改支付寶密碼,從而盜走消費者的錢財。
利用同樣的方法,工作人員製作了帶有病毒的“某交友網站”的二維碼,手機掃描後同樣是打開一個連結,操作下去就會手機中毒。而一旦中毒,用戶的通訊錄、銀行卡號等隱私資訊、財產資訊就會洩露。
武漢矽感科技有限公司副總經理竇毅介紹,這種網上下載的二維碼生成器,使用非常簡單,很容易就生成一個二維碼。
■專家說法
別盲目掃碼手機上裝安全軟件
由二維碼產生的案件層出不窮,一些消費者希望通過“掃一掃”得到實惠,沒想到反而陷入了騙子設下的陷阱。
如今二維碼已覆蓋到生活中的方方面面,我們應該如何辨識真假?
昨日,武漢大學電腦學院張健教授稱,二維碼只不過是為病毒提供了一種新的通路、新的介質。一般用戶不瞭解二維碼的原理,常常“見碼就掃”,在讓利、促銷或熱門遊戲的幌子下,很容易被不法分子製造的假像所迷惑。
張健教授提醒廣大消費者,在掃描二維碼前一定要確認該碼是否出自官方和正規的網站,對於一些來路不明的二維碼,不要盲目掃描。消費者最好在手機上安裝相應的安全軟件,如騰訊手機管家、360手機衛士等,以防止二維碼病毒侵入手機。消費者應儘量使用有安全驗證功能的軟件掃描二維碼。如果通過二維碼來安裝軟件,安裝好以後,最好先用手機殺毒軟體掃描一遍再打開。
張教授同時呼籲,互聯網企業、各大廠商等應該負起保護用戶資訊的責任,加快提升安全技術,推動業界的交流和合作,共同建造互聯網安全體系,不要讓不法分子有空子可鑽,為廣大線民營造一個健康的網路環境。
監管顯空白亟待加强法規建設
湖北今天律師事務所付軍律師指出,現時市場對二維碼的監管還是“一片空白”,製作二維碼沒有任何規定,發佈二維碼也沒有任何限制,整個行業處在一種自由化的狀態。而二維碼是否藏有病毒,從外觀上是無法辨別的,用戶一旦誤掃“藏毒”二維碼,很可能導致隱私洩露、帳戶被盜等情况的發生。
付軍律師稱,二維碼本質上只是一種資訊編碼方式,是柳葉刀還是兇器關鍵看掌握在誰手中。對二維碼使用的監管缺失以及行業的低門檻才是其安全隱患的根源。
付軍律師建議,在行業和科技標準出臺之前,消費者“掃一掃”時,應儘量先核實該二維碼的來源,選擇正規企業、商家發佈的二維碼來掃描。對於監管部門來說,亟待加强惡意手機應用相關的法律法規體系建設,從信譽、認證入手,進一步規範市場發展環境,保護用戶的合法權益。