“隨手掃一掃,精彩禮物等你拿!”“掃描二維碼,加入官方購物群!”說起二維碼,你不會感覺到陌生。如今,在餐廳、地鐵、商場,甚至在街邊小廣
“隨手掃一掃,精彩禮物等你拿!”“掃描二維碼,加入官方購物群!”說起二維碼,你不會感覺到陌生。如今,在餐廳、地鐵、商場,甚至在街邊小廣告上,二維碼已無處不在。
可是,由掃二維碼帶來的風險也日益顯現。
近日,江夏區檢察院公佈一起案件:江夏一女子網上購物,店主稱掃二維碼送“紅包”,卻不料,這一掃便掃出了麻煩,不但中意的衣服沒有拍到,顧客的支付寶賬戶也少了1.8萬餘元……
360安全中心釋出的相關報告也顯示,植入手機端的釣魚木馬正持續升溫。 “掃一掃”的風險有多大?又該如何防範掃碼風險?
掃碼送紅包1.8萬元被“掃”走了
去年12月13日,像往常一樣,住江夏的朱女士在淘寶上尋找自己中意的寶貝。當她看到一件價值500元的毛衣後,很是喜歡,就拍了下來。讓她驚 喜的是,剛拍下寶貝,店家便跟她聯絡,說是要送她“紅包”,只要掃一下二維碼。朱女士想著快到年底了,可能真的是店家在促銷,不加思索就拿起手機對著店家 發過來的二維碼掃了一下。
卻不料,這一掃,便掃出了麻煩。
朱女士再次上網發現,不但中意的衣服沒有拍到,自己的支付寶賬戶還少了18112元。
慌了神的她立即報警,警方讓朱女士拿著立案號,立刻聯絡支付寶客服。很快,支付寶方面將朱女士賬戶凍結。經查,騙子用朱女士的支付寶賬戶,在網上拍下4部蘋果5S手機,並通過朱女士的支付寶賬戶付款18112元。
而支付寶賬戶之所以出現問題,是因為朱女士手機掃碼後“中毒”。
今年1月17日,警方在浙江餘姚市將犯罪嫌疑人李某抓獲。李某交代,他還另外作案一起,利用上述同樣的伎倆,先後10次使用受害人尹女士的支付寶賬戶購買總額為6896元的商品。
二維碼藏毒攔截簡訊改支付寶密碼
近日,李某因涉嫌盜竊罪被移至江夏區檢察院審查起訴。
李某使用的是什麼伎倆?怎麼手機掃了一下二維碼,支付寶賬戶就被盜了?
據到案後的李某交代,他在一個QQ群裡認識了網友宋某(已涉嫌傳授犯罪方法罪被起訴),宋某傳給他一個“apk”木馬程式,他把該木馬放到網盤裡,然後生成一個二維碼。
之後,李某又花150元買到一個淘寶店鋪,然後傳上一些時尚漂亮衣服的照片,價格定得較低。只要顧客有意向購買,他便會發二維碼給顧客,承諾 “只要手機掃碼,便能優惠”。“顧客掃了後,下載安裝apk,木馬便植入手機,我很快就能知道手機號。支付寶賬號很多就是手機號。”至於密碼,李某說,他 會用支付寶密碼“手機校驗碼找回”功能,支付寶會給繫結手機發一個校驗碼簡訊。而木馬能攔截簡訊,並自動發到李某的手機上來,受害者本人卻看不到。李某表 示,有了校驗碼,他就可修改支付寶登入密碼,而且能擷取淘寶、銀行發過來的驗證碼簡訊,很容易划走賬戶內的錢。
二維碼製作一分鐘就可輕鬆完成
360安全中心於去年12月釋出的“網購先賠”報告顯示,植入手機端的釣魚木馬正持續升溫,而二維碼逐漸成為騙子傳送木馬、釣魚攻擊智慧手機使用者的新興渠道。利用二維碼傳播手機木馬、盜取使用者錢財的案件頻頻發生。
昨日,記者邀請專業製作二維碼的武漢矽感科技有限公司工作人員,實地演示二維碼的製作,並對二維碼病毒進行測試。
工作人員首先下載了兩個帶有病毒的程式,分別是“某抽獎活動”和“某交友網站”,這也是當下經常遇到的兩種網路詐騙。然後將病毒程式上傳至網盤,並複製下程式的連結。
接著,試驗人員通過網路搜尋,找到一個線上二維碼生成器。這種生成器在網路上很普遍,很容易找到。
工作人員將“某抽獎活動”的病毒連結輸入到生成器左側的空白區域內,點選下面的“繼續生成”按鈕,一個二維碼就製作完成。整個過程,不到一分鐘就可以完成。
緊接著,工作人員用自己的手機掃了掃生成的二維碼,掃碼後出現的正是“某抽獎活動”的連結,開啟便是各種中獎資訊。試驗員介紹,如果繼續操作下去,手機將中毒,手機資訊將被掌控。不法分子正是用這種方法,掌控手機資訊而修改支付寶密碼,從而盜走消費者的錢財。
利用同樣的方法,工作人員製作了帶有病毒的“某交友網站”的二維碼,手機掃描後同樣是開啟一個連結,操作下去就會手機中毒。而一旦中毒,使用者的通訊錄、銀行卡號等隱私資訊、財產資訊就會洩露。
武漢矽感科技有限公司副總經理竇毅介紹,這種網上下載的二維碼生成器,使用非常簡單,很容易就生成一個二維碼。
■專家說法
別盲目掃碼手機上裝安全軟體
由二維碼產生的案件層出不窮,一些消費者希望通過“掃一掃”得到實惠,沒想到反而陷入了騙子設下的陷阱。
如今二維碼已覆蓋到生活中的方方面面,我們應該如何辨識真假?
昨日,武漢大學計算機學院張健教授稱,二維碼只不過是為病毒提供了一種新的渠道、新的介質。一般使用者不瞭解二維碼的原理,常常“見碼就掃”,在打折、促銷或熱門遊戲的幌子下,很容易被不法分子製造的假象所迷惑。
張健教授提醒廣大消費者,在掃描二維碼前一定要確認該碼是否出自官方和正規的網站,對於一些來路不明的二維碼,不要盲目掃描。消費者最好在手機 上安裝相應的安全軟體,如騰訊手機管家、360手機衛士等,以防止二維碼病毒侵入手機。消費者應儘量使用有安全驗證功能的軟體掃描二維碼。如果通過二維碼 來安裝軟體,安裝好以後,最好先用手機防毒軟體掃描一遍再開啟。
張教授同時呼籲,網際網路企業、各大廠商等應該負起保護使用者資訊的責任,加快提升安全技術,推動業界的交流和合作,共同建造網際網路安全體系,不要讓不法分子有空子可鑽,為廣大網民營造一個健康的網路環境。
監管顯空白亟待加強法規建設
湖北今天律師事務所付軍律師指出,目前市場對二維碼的監管還是“一片空白”,製作二維碼沒有任何規定,釋出二維碼也沒有任何限制,整個行業處在 一種自由化的狀態。而二維碼是否藏有病毒,從外觀上是無法辨別的,使用者一旦誤掃“藏毒”二維碼,很可能導致隱私洩露、賬戶被盜等情況的發生。
付軍律師稱,二維碼本質上只是一種資訊編碼方式,是柳葉刀還是凶器關鍵看掌握在誰手中。對二維碼使用的監管缺失以及行業的低門檻才是其安全隱患的根源。
付軍律師建議,在行業和技術標準出臺之前,消費者“掃一掃”時,應儘量先核實該二維碼的來源,選擇正規企業、商家釋出的二維碼來掃描。對於監管部門來說,亟待加強惡意手機應用相關的法律法規體系建設,從信譽、認證入手,進一步規範市場發展環境,保護使用者的合法權益。
