调查称二维码使用存安全隐患 中毒容易寻凶太难
一个不起眼的黑白相间的小方块——二维码,正在悄然改变着我们的生活方式:添加好友、下载优惠券、浏览网页、视频……“扫一扫”,逐渐成为智能手机用户的时尚用语,“不用二维码,说明你out了”。
一个二维码可压缩至少1108个字节、相当于500多个汉字的信息,然而在带来便利的同时,二维码也暗藏安全威胁——“扫一扫”背后,常常隐藏钓鱼链接,各地利用二维码诈骗案件高发,甚至已形成病毒发布、经验交流、利益分成的违法利益链。
基于目前二维码使用中出现的安全隐患,网络安全专家给出防诈骗建议:
从技术上讲,“扫一扫”前,手机用户必须在手机上安装加入监测功能的扫码工具,比如手机QQ卫士、360安全卫士、手机管家等软件,扫到可疑网址时,会有安全提醒,如果通过二维码来安装软件,安装好以后,最好先用杀毒软件扫描一遍再打开。
要养成良好的二维码使用习惯。一般来说,报纸、杂志等正规出版刊物上的二维码相对安全,而在网站、微博上发布的不知来源的二维码不能轻易扫描,须引起高度警惕。
手机二维码在线购物、支付更要谨慎,与手机绑定的银行卡内不宜存储过大数额资金,避免发生连锁反应。
如果遇到一打开就会自动下载安装软件的二维码链接,就要提高警惕了,当它提示你下载时,千万不要轻易下载安装。
支付宝话费存款一“扫”而空
春节前夕,河南的淘宝店主王先生向360网购先赔中心举报,说有买家以购买多款商品为由,要求其扫描二维码,结果却被盗刷了支付账户。360互联网安全中心对该二维码进行检测后发现,该二维码竟暗藏短信劫持的“隐身大盗”木马,中招者手机中的短信会被自动转发到黑客手机上,黑客能轻而易举地利用短信更改密码并伺机消费。
王先生告诉记者,当时有买家说要和同学一起购买多款商品,担心买错款式,他们就用手机做了一个二维码清单,这样王先生用手机一扫描就能知道他们要买什么了。然而,王先生扫描完二维码后就跳转到一个文件下载页面,等安装并打开名为“购物清单”的apk文件后,看到的却是乱码,根本没有任何商品信息。
“我再去问买家为何看不到时,他已经下线了。”王先生告诉记者,他没在意就关电脑去睡觉了,但第二天却发现支付宝账户被人盗刷了三千多元,全部购买了网游点卡。
淘宝“重镇”杭州,近期也多次发生通过手机二维码植入病毒进行诈骗、盗窃的案件。杭州一对母女在不到半小时内被骗走200多万元,另一位何先生也被人以同样的手段骗走152万元。
在太原市,家住五一路的李女士也遭遇了二维码陷阱。她在一个扫二维码赢优惠券的网站上扫了一下二维码,而后手机就中了病毒,把她刚充好的120元话费“扫”没了。
记者在百度贴吧中看到,网名为“月明星稀”的网友发帖称:“前几天,我上网购物,看见一卖衣服的店里有二维码,说是扫扫就可以打折优惠,我就扫了一下。第二天早上,我就接到中国移动‘欠费100元’的短信,打电话询问才知道,工作人员说有的二维码有病毒,很可能被病毒链接的恶意扣费软件扣费了。”
二维码是否有毒很难辨别
二维码为何成为了不法分子的帮凶?
“简单来说,二维码就是一个链接、一个介质,本身没有毒,加上带毒的链接才变成‘毒码’。”360网络安全专家安扬告诉记者,二维码可以存储各种信息,同时也会被黑客利用来存储病毒软件,而对于普通市民来讲,二维码是否有病毒信息很难辨别,消费者用手机扫二维码时,很可能下载到病毒。
以淘宝店主王先生为例,他正是遭遇了典型的二维码钓鱼欺诈。“当他下载并运行了所谓的‘购物清单’文件后,暗藏的‘隐身大盗’木马就成功入侵了他的手机。”安扬介绍,这种木马启动后会发送激活短信和受害者的手机号给黑客,接着受害者手机中的涉及到银行、密码、验证码等“广播短信”就会被木马拦截并转发给黑客,然后黑客会利用其手机号作为支付宝用户名,进行短信重置密码的操作,再通过其他渠道获取到受害者的身份证号等详细信息,从而盗刷受害者的网银。
安扬说,由于手机短信被拦截,黑客的这些操作受害人是完全看不到的,一旦掉入此类二维码陷阱,账户可能将被骗子洗劫一空,360网购先赔已经接到多起类似报案,就有受害人在完全不知情下被盗刷了上万元。
“确实,仅从二维码表面看,难以辨别其包含信息是否安全。”中国电子技术标准化研究院副总工程师王立建说,安全使用二维码只能靠终端辨别,而用户稍有疏漏,一旦扫描二维码并打开其中链接,就极易感染病毒。
生成一个毒码真的很简单
记者了解到,目前,任何机构和组织均可随意发布二维码,传播过程中没有进行有效过滤,极易被不法分子所利用——从某种程度上讲,“毒码”泛滥,与二维码生成简单有很大关系。
记者就此询问过中国电子技术标准化研究院一位技术人员,据他介绍,将带有病毒程序的网址链接生成一个二维码,其实并不存在技术门槛,只需在互联网上任意搜索一款“二维码生成器”,然后把病毒软件的下载地址粘贴到二维码生成器,立即就能生成一个迷宫似的二维码图片,整个过程甚至不用1分钟。
记者为此进行试验发现,生成一款有毒二维码的确很容易。
“带有恶意链接的二维码生成后,往往被隐藏在打折信息或促销广告里,只要有人扫描就会中招。这种在网上随意生成的二维码,行业内称之为‘无源二维码’,也就是没有同一合法源头,无法追踪,也很难监管。”这位技术人员说。
“可以说,任何可以吸引眼球的地方,都可以设置投放二维码广告,因此通过全面展开监测的手段来达到监管目的,难度较大。”北京京伦律师事务所律师曹旭升说,目前来看,二维码广告不仅可以投放在报纸、杂志、广告墙等传统平面媒体上,而且可以投放在站牌、车体、车票甚至产品本身等所有有形物体之上,除了有形物体也可以投放在手机短信、电视画面、网络页面等虚拟空间之中。
“由于二维码制作的简易性,在实际的调查中也会出现取证困难的情况。”曹旭升指出,由于二维码制作和发放的记录可以随时删除,一旦广告主和广告发布人否认违法事实,如何充分有效地搜集固定证据成为一个难点。
“而且二维码作为一项编码技术,存在致命的缺陷,那就是可能遭到破译——任何一个使用二维码投放广告的经营主体,其广告内容中涉及的产品或服务经营者有可能是破译之后的冒充者,工商部门查处时也会很难界定到底该广告是否属于广告内容中经营者的行为。”曹旭升补充。
技术标准工商监管须完善
“二维码的应用是大势所趋,不能因为诈骗事件的出现而因噎废食。”中国电子商务协会政策法律委员会主任杨坚争向记者表示,手机摄像头和二维码识别软件结合,相当于每个手机用户都拥有了一台便携式的读码机,随着移动互联网技术的进步,作为一项更先进、更有效率的编码方式,二维码终将替换现有的条形码。
杨坚争认为,对于监管部门来说,二维码的使用标准以及针对移动互联网安全的法律法规体系的建设和完善迫在眉睫,亟须从门槛、资质、认证、备案等方面入手,进一步规范市场发展环境,保护用户的合法权益。
据了解,中国电子商会物联网技术产品应用专业委员会二维码专项工作组已于去年成立,并推出了国家物联网二维码公共服务平台,制定和推广二维码技术标准。
目前,中国电子商会物联网专委会和中国二维码产业联盟正在牵头开展基于国际通用OID体系的二维码标识符(简称i-OID)注册、分配、管理与服务,并成立了国家i-OID注册中心。中国二维码产业联盟秘书长张超介绍,针对有毒二维码以及诈骗行为,纳入国家i-OID注册中心体系的二维码,可以根据i-OID编码找到源头。
然而,仅仅有技术标准,显然难以根治二维码的安全隐患。曹旭升认为,面对二维码这种新型营销模式,相关部门须尽快做出反应,以适应科技发展带来的新问题。他建议,应升级监管工具,加大市场监测力度,为基层配备完善监管工具,将二维码广告监测纳入日常监管体系。
针对二维码容易遭到破译的难题,他建议发布二维码广告的广告主向当地工商所进行报备,工商所要按照属地管辖的原则进行档案登记,建立电子数据库,将报备的二维码复制保存在数据库当中。“一旦发现没有报备的二维码广告和广告内容与报备内容不符的广告,立即展开调查处理,严厉打击利用二维码广告进行虚假宣传、商标侵权等违法行为。”曹旭升建议。
安扬指出,需要加强对“我查查”、“快拍二维码”等软件制作公司监管,要求公司建立诚信经营相关制度,严格审核公司数据库中的二维码信息,从源头上杜绝带有“虚假宣传”和“消费欺诈”等信息的二维码被推上市场。□本报记者王晓雁