沈臻懿

不知從何時(shí)起，一種黑白相間、形似迷宮的二維碼融入了人們的日常生活。無論是移動(dòng)支付、社交媒體，還是網(wǎng)址登錄、應(yīng)用程序等，只需掏出手機(jī)掃一掃，即可輕松搞定。但二維碼技術(shù)在為人們的生活帶來極大便利的同時(shí)，也被不法分子利用并“包裝”成了各類詐騙手段。為了有效防范二維碼詐騙，便需要借助相關(guān)技術(shù)手段，對各類迅速蔓延的二維碼詐騙活動(dòng)進(jìn)行防范。

當(dāng)前，不少人都發(fā)現(xiàn)出門時(shí)可以不帶錢包，但絕對不能不帶手機(jī)。外出購物付款時(shí)直接掃描二維碼支付已成為不少人士的消費(fèi)首選。作為移動(dòng)互聯(lián)網(wǎng)的入門通道，二維碼已涉足應(yīng)用程序、移動(dòng)支付、社交媒體、用戶登錄等諸多領(lǐng)域。只需要抬手掃一掃，就能輕松支付賬款，且省去了掏錢與找零的麻煩。

不可否認(rèn)，二維碼的出現(xiàn)與普及為社會(huì)生活帶來了極大的便利。但專業(yè)人員知道，二維碼制碼的技術(shù)門檻幾乎為零，不少犯罪分子已然將詐騙的罪惡之手伸向二維碼。當(dāng)消費(fèi)者不慎掃描被植入了木馬程序、黑客病毒或者扣款程序的二維碼后，往往不經(jīng)意間就陷入了犯罪分子事先所挖好的“詐騙陷阱”！

二維碼技術(shù)的前世今生

黑白相間，形似迷宮，是很多人對于二維碼的第一印象。不知從何時(shí)起，人們的日常生活就突然和二維碼緊緊聯(lián)系在了一起。那么，我們在隨手掃碼的同時(shí)，是否考慮過這一外觀奇特的圖案究竟從何而來？其實(shí)，二維碼圖案并非一時(shí)興起的隨手涂鴉，而是通過二進(jìn)制的編碼，將漢字、字母、數(shù)字等字符，轉(zhuǎn)化為一系列黑白小方框。其利用了特定的幾何學(xué)理論，按照一定的規(guī)律在二維平面上分布有黑白相間的圖形信息。

隨著智能手機(jī)的普及，利用手機(jī)掃描二維碼已成為連接線上與線下的重要路徑。二維碼符號“家族”中，存在著多種不同的碼制技術(shù)。當(dāng)前人們所廣泛使用的二維碼，屬于QR碼技術(shù)，全稱為Quick Response Code。與傳統(tǒng)條形碼相比，QR碼技術(shù)不僅可以存儲(chǔ)更多的信息，更可反映諸多的數(shù)據(jù)類型。QR碼技術(shù)起源于20世紀(jì)70年代的日本，最初是日本汽車廠商為了輕松追蹤汽車零部件并進(jìn)行區(qū)別而開發(fā)出的一種條碼。二維碼具有“成本低廉”“數(shù)據(jù)儲(chǔ)存量大”“復(fù)印傳真不失真”“信息跟隨載體移動(dòng)”“糾錯(cuò)能力強(qiáng)”等諸多優(yōu)點(diǎn)，其在全球范圍內(nèi)備受推寵，并被廣泛應(yīng)用于當(dāng)前的社會(huì)生活中。

當(dāng)前市面上常見的二維碼主要可分為矩陣式二維條碼以及行排式或堆疊式二維條碼。矩陣式二維碼，顧名思義即是以矩陣形式所組成的條碼；行排式或堆疊式二維碼則是短截、多行的一維條碼經(jīng)堆疊所形成的條碼。在代碼編制方面，二維碼借助了“0”“1”比特流的電子計(jì)算機(jī)內(nèi)部邏輯概念，并利用與二進(jìn)制相對應(yīng)的數(shù)個(gè)幾何圖形來代表特定的文字符號信息。每種碼制的二維碼都有自身特定的字符集。每個(gè)字符都占據(jù)一定的寬度，并具有相應(yīng)的校驗(yàn)功能。

人們用肉眼直觀時(shí)雖然只能看到貌似雜亂無章的黑白小方格，但經(jīng)光電掃描設(shè)備或圖形輸入設(shè)備的掃描與錄入后，二維碼中蘊(yùn)含的信息即能被計(jì)算機(jī)系統(tǒng)自動(dòng)識別，并能夠?qū)崿F(xiàn)數(shù)據(jù)信息的自動(dòng)處理。

二維碼支付背后的技術(shù)剖析

當(dāng)前，移動(dòng)支付平臺(tái)和網(wǎng)絡(luò)電商所推出的二維碼支付功能，使得二維碼掃一掃成為很多人的支付習(xí)慣。不過，相對于二維碼支付的火熱程度，其背后的工作原理和技術(shù)支撐往往就不為人所熟知了。

無論買方或賣方，其在使用二維碼作為支付媒介與通道時(shí)，首先都需要發(fā)起特定支付，即通過收銀系統(tǒng)或者支付應(yīng)用程序向支付平臺(tái)服務(wù)器發(fā)送支付請求。平臺(tái)服務(wù)器在收到發(fā)起支付申請后，便會(huì)生成相關(guān)支付參數(shù)，并以二維碼圖案的形式向發(fā)起方反饋。隨后即是支付參數(shù)交換環(huán)節(jié)，簡單來說，就是由支付發(fā)起方向?qū)Ψ匠鍪径S碼圖案。對方需要對支付參數(shù)進(jìn)行核實(shí)，即通過收銀設(shè)備或者支付應(yīng)用程序進(jìn)行掃描，以便支付平臺(tái)服務(wù)器能夠?qū)υ撝Ц秴?shù)信息進(jìn)行確認(rèn)。最后，交易雙方認(rèn)可支付并經(jīng)由支付平臺(tái)服務(wù)器完成支付后，二維碼支付的一系列環(huán)節(jié)得以實(shí)現(xiàn)。

二維碼詐騙新花樣

二維碼的高度普及，令其在人們的日常生活中已不可或缺。但與此同時(shí)，犯罪分子的黑手也伸向了二維碼。犯罪人利用普通民眾對于二維碼的高度信賴以及粗心大意的心態(tài)，制作了與真二維碼外形極為相近的“詐騙二維碼”，在其中植入病毒、木馬或惡意程序等，引誘消費(fèi)者掃描“詐騙二維碼”，并誤導(dǎo)消費(fèi)者在虛假界面環(huán)境下進(jìn)行操作，從而騙取消費(fèi)者的錢款。

來路不明的詐騙二維碼

人們在逛街或購物時(shí)，遇到“促銷送大禮”或“掃碼送獎(jiǎng)品”等活動(dòng)時(shí)，難免會(huì)心動(dòng)。當(dāng)前，不法分子正是利用部分民眾的這種心理，采用二維碼掃碼的方式實(shí)施詐騙活動(dòng)。在商場購物時(shí)，有時(shí)會(huì)遇到所謂的“推銷員”上前搭訕，稱只需掃一掃二維碼就能夠獲得免費(fèi)贈(zèng)送的禮品或者有機(jī)會(huì)贏得獎(jiǎng)金或獎(jiǎng)品等。其實(shí)，不法分子提供的這些二維碼，系其利用專門的二維碼生成器，將黑客病毒或木馬程序鏈接于二維碼上。人們一旦在不法分子的誘使下掃描了這些二維碼，其手機(jī)就會(huì)被植入木馬程序、黑客病毒，或者在毫無察覺的情況下登錄不法分子預(yù)先設(shè)置的網(wǎng)站，自動(dòng)下載病毒程序，從而導(dǎo)致其自身的個(gè)人信息、身份號、手機(jī)號碼、銀行卡號、網(wǎng)銀密碼等信息被竊取和泄露。

公交、地鐵或者公共場合中，有時(shí)會(huì)看到一些人拿著印刷的二維碼圖案或者手機(jī)屏幕上顯示的二維碼，“熱心”地請求乘客或路人掃描，以支持其創(chuàng)業(yè)或者關(guān)注某個(gè)公眾號。殊不知，在這些二維碼中，同樣有可能隱藏著一個(gè)個(gè)潛在的“詐騙陷阱”。稍有不慎，受害人就有可能財(cái)產(chǎn)受損。

偽造交通違章罰單上的二維碼

交通違章罰單對于駕駛車輛者而言并不陌生，但駕駛?cè)嗽谑盏搅P單時(shí)仍需要擦亮自己的眼睛。不知從何時(shí)起，不法分子已將犯罪的黑手伸向了交通違章罰單。其通過在網(wǎng)上搜索下載的違章停車罰單圖片，將部分文字內(nèi)容進(jìn)行修改后，在罰單底部新增了一個(gè)能夠向不法分子付款的二維碼圖案。若駕駛?cè)送ㄟ^掃描二維碼繳納“罰款”，手機(jī)屏幕上就會(huì)顯示出相應(yīng)的轉(zhuǎn)賬界面。與傳統(tǒng)詐騙活動(dòng)相比，“交通違章罰單”二維碼詐騙的欺騙性更強(qiáng)，更不易為受害人所發(fā)覺。

付款二維碼與收款二維碼的偷梁換柱

付款碼與收款碼是移動(dòng)支付應(yīng)用程序中兩種功能截然不同的二維碼。向他人進(jìn)行付款后，就需要打開應(yīng)用程序中的付款功能。付款碼頁面由一條條形碼和一個(gè)二維碼共同組成。銷售商在輸入售貨價(jià)格后會(huì)用光電掃描設(shè)備進(jìn)行掃碼收款。收款碼則是本人向他人收取錢款時(shí)使用。只需輸入錢款金額，無需對方添加好友，即可通過掃描收款碼方式向本人轉(zhuǎn)賬。不法分子利用付款碼與收款碼的特點(diǎn)，故意混淆兩者之間的區(qū)別，使得原本應(yīng)當(dāng)收錢之人變成了向外付錢之人。在一些詐騙實(shí)例中，有不法分子就將詐騙的對象瞄準(zhǔn)了不少微商。不法分子借口購買貨品時(shí)，自身零錢余額不足，提出需要使用二維碼支付，并要求微商發(fā)送付款二維碼的截圖，以便于買家直接掃描付款。隨后，不法分子往往又會(huì)假借付款二維碼錯(cuò)誤或者二維碼超時(shí)等理由，引誘受害人不斷地發(fā)送付款二維碼的截圖。不法分子在收到截圖后，利用特制的掃碼工具對二維碼截圖進(jìn)行盜刷。待受害人收到支付憑證，發(fā)現(xiàn)錢款不斷向外支付，意識到自己受騙上當(dāng)時(shí)，不法分子早已將受害人拉入黑名單，從此“音信全無”。付款二維碼，就如同人們的銀行卡+密碼。正常使用時(shí)，由于手機(jī)屏幕上的二維碼處于自身掌控之下，故其付款碼往往較為安全。但如果將付款碼截圖發(fā)給他人，就好似直接將自己的銀行卡和密碼拱手送于不法分子，這對于不熟悉二維碼的受害人，是個(gè)必須引起警覺的注意點(diǎn)。

黏附于共享單車上的詐騙二維碼

此外，當(dāng)前共享單車在大部分城市中也愈發(fā)普及，為人們的出行提供了極大便利。人們只需拿出手機(jī)，掃一掃共享單車上的二維碼，就可以輕松開啟單車上的鎖具。但有些時(shí)候，人們在掃描共享單車上的二維碼后，會(huì)發(fā)現(xiàn)有莫名其妙的轉(zhuǎn)賬提示出現(xiàn)。若不多加留意，即會(huì)造成錢款的損失。人們不禁會(huì)問，共享單車上的開鎖二維碼為什么會(huì)將錢款“卷走”呢？令共享單車“背鍋”的，實(shí)則是粘貼在其車身上的虛假二維碼。共享單車上的正規(guī)二維碼，或是采用噴漆噴涂方式，或是直接使用鉚釘固定在車身之上。不法分子利用二維碼掃一掃的特點(diǎn)，將植入了扣費(fèi)軟件、木馬程序、黑客病毒的詐騙二維碼印刷在與真二維碼大小相近的粘貼紙上，并完全覆蓋于真二維碼表面。用戶一不留意，就可能掃描到詐騙二維碼，導(dǎo)致信息泄露與財(cái)產(chǎn)受損。

二維碼詐騙的技術(shù)防范

二維碼作為擁有特定格式，能夠在有限面積內(nèi)儲(chǔ)存和表達(dá)信息的一種圖案，可在縱、橫兩個(gè)方位上同時(shí)對信息進(jìn)行反饋。無論是付款信息、收款信息、網(wǎng)站網(wǎng)址、個(gè)人名片等，皆可借助二維碼圖案予以展示。不過，這一近年來興起的技術(shù)，正在被不法分子所利用。當(dāng)前廣泛應(yīng)用的二維碼屬于QR碼技術(shù)，其對市場采用了免費(fèi)開放的策略。這就使得任何人皆可通過網(wǎng)絡(luò)途徑來下載二維碼生成器。換言之，由于二維碼的制碼技術(shù)沒有任何的準(zhǔn)入門檻，不法分子在短短的幾分鐘時(shí)間內(nèi)，就可以將一款二維碼生成器從網(wǎng)絡(luò)上下載，并將黑客病毒、木馬程序的網(wǎng)址嵌入其中，生成一個(gè)用手機(jī)等任意掃碼工具皆可讀取信息的二維碼。針對二維碼存在的安全漏洞與詐騙風(fēng)險(xiǎn)，勢必需要我們從各種技術(shù)途徑增強(qiáng)其防范風(fēng)險(xiǎn)的能力。

二維碼支付中，最主流的即是URL支付（URL，Uniform Resource Locator，統(tǒng)一資源定位符）。其受到青睞的原因，在于消費(fèi)者使用客戶端掃碼后，即可以訪問商家用來宣傳、銷售商品的頁面以及網(wǎng)絡(luò)交易支付的頁面等。不過，在這一方式的背后，最大的安全隱患與風(fēng)險(xiǎn)即是“網(wǎng)絡(luò)釣魚”詐騙的存在。針對這一形式的二維碼詐騙，在技術(shù)防范時(shí)就需要采用專用支付工具（支付APP）進(jìn)行支付操作，并保持支付APP處于最新版本。專用支付工具的內(nèi)置掃碼功能禁止自動(dòng)打開瀏覽器訪問釣魚網(wǎng)站。其不使用通用瀏覽器，而是由內(nèi)置的瀏覽器來訪問URL。在訪問之前，專用支付工具會(huì)經(jīng)過服務(wù)器先對該URL是否處于安全地址黑名單或白名單中進(jìn)行核實(shí)，并由專門的后臺(tái)安全團(tuán)隊(duì)對黑名單、白名單進(jìn)行維護(hù)。

當(dāng)前二維碼詐騙活動(dòng)中，有不少發(fā)生在網(wǎng)絡(luò)環(huán)境下。由于網(wǎng)上交易全程都處于虛擬的網(wǎng)絡(luò)環(huán)境，交易雙方不發(fā)生直接接觸，且虛擬化的身份，使得二維碼詐騙活動(dòng)具有極強(qiáng)的隱蔽性。不法分子利用受害人不清楚付款碼與收款碼的區(qū)別，以及某些移動(dòng)支付應(yīng)用程序在一定金額范圍內(nèi)允許免密碼支付的功能，繼而實(shí)施詐騙。針對二維碼的這類詐騙活動(dòng)，就需要人們在使用移動(dòng)支付時(shí)務(wù)必保持謹(jǐn)慎、警惕，清楚付款碼與收款碼的不同功能與區(qū)別。切勿盲目聽從他人的“指導(dǎo)”與“提示”發(fā)送付款碼截圖。

筆者提醒消費(fèi)者，就防范措施而言，首先應(yīng)當(dāng)關(guān)閉移動(dòng)支付應(yīng)用程序的免密碼支付功能，并設(shè)置啟用“手勢密碼”功能，以提升支付的安全性。此外，隨著技術(shù)手段的提升，付款碼的安全性能也隨著移動(dòng)支付應(yīng)用程序的升級而不斷增強(qiáng)。當(dāng)用戶對付款二維碼進(jìn)行截屏操作時(shí)，系統(tǒng)會(huì)提示“無法截屏”或者“截屏后付款碼無效”的提示，從而堵住信息泄露與錢款盜刷的漏洞。

此外，在不少室內(nèi)或公共場所中，都提供有免費(fèi)的Wi-Fi。人們在這些場所中，往往也較為熱衷于使用手機(jī)來連接免費(fèi)Wi-Fi。但需要注意的是，免費(fèi)Wi-Fi對于二維碼支付而言，存在著操作環(huán)境安全的巨大風(fēng)險(xiǎn)。免費(fèi)Wi-Fi在傳輸時(shí)未經(jīng)加密，存在著極大的泄密風(fēng)險(xiǎn)。此外，提供免費(fèi)Wi-Fi的商家的路由器還可能被采用植入惡意代碼等方式進(jìn)行劫持。消費(fèi)者若在這種操作環(huán)境下使用二維碼進(jìn)行網(wǎng)絡(luò)交易時(shí)，其自身的信息、網(wǎng)銀密碼、資金等就有可能在未經(jīng)加密的免費(fèi)Wi-Fi環(huán)境下被竊取。因此，對于二維碼支付等敏感程度較高的操作時(shí)，并不建議在免費(fèi)Wi-Fi環(huán)境下實(shí)施，若必須操作時(shí)，則可使用3G或4G的環(huán)境，以保障二維碼支付操作的安全性。

編輯：黃靈 yeshzhwu@foxmail.com