| APP下载

二维码易被盗刷?关掉免密支付更安全

消费不用带现金,只需打开二维码轻轻一刷。微信、支付宝等推出二维码支付给人们的生活带来了极大的便捷。不过,在享受这种便捷体验性的同时,二维码支付也暴露出一些风险。

消费不用带现金,只需打开二维码轻轻一刷。微信、支付宝等推出二维码支付给人们的生活带来了极大的便捷。不过,在享受这种便捷体验性的同时,二维码支付也暴露出一些风险。近日,在重庆就发生了消费者使用二维码支付时资金被盗的案件。虽然用户被盗资金多为几百元,警方也成功破了案,被盗刷钱也退还给受害者,但案件仍然引发用户对二维码支付的担忧。

腾讯方面5月27日回复新京报记者称,对盗刷案件深表歉意,并表示微信支付在持续通过对商户入驻的严格审核及风控额度限制,保障用户资金安全。

偷扫用户付款码盗刷资金

据央视新闻5月26日报道,近日,重庆江北公安分局成功破获了一起在超市收银处专门盗刷微信资金案件。4月21日至5月4日之间,四名受害人手持微信二维码在超市等待付款,被人从背后通过手机扫码,盗刷500到900元不等的资金。民警已于5月13日将嫌疑人彭某抓获。

据报道,本案中,作案者专门在超市收银台附近游逛,寻找提前拿出付款二维码准备付款的顾客,再用手机远程扫描一下顾客的付款码,随后立即转身离开,全部过程用时仅十几秒时间。

据重庆江北公安分局吴警官向新京报记者透露,嫌疑人的盗刷过程是利用一个手机APP,通过这个APP手机就变成了扫码枪,嫌疑人扫完顾客的二维码后输入收款金额,资金立即被盗刷,扣款方名称显示为“一站式24小时便利店”,而不是顾客所处的超市名称。

负责承办该案件的江北区观音桥商业区派出所接连接到多起类似报案,后警方通过调取监控录像,锁定了嫌疑人,并将其抓获。吴警官介绍,该嫌疑人一共扫了三笔,每笔都不到1000元,盗窃罪是1000元以上立案,2000元以上处理。“虽然单笔金额不够刑事处罚,但一年内三次作案就构成了。”

腾讯回应:如被盗可追溯商户信息

5月27日,腾讯方面针对该案回复新京报记者称,“对于本次盗刷案件的发生我们深表歉意,目前该案件犯罪嫌疑人已被警方抓获,并将盗刷费用退还给受害者”。

“为保障支付的安全性,微信支付付款码时效性限制为1分钟且仅有一次有效性”,腾讯方面还表示,若不幸遭遇资金被盗,用户可以通过微信支付的“百万保障”,申请被盗赔付,或在账单详情中投诉,会有专业客服团队进行处理,确认被盗情况属实,微信支付会对被盗金额进行全额赔付。

二维码支付接入商户的约束方面,腾讯称,支持付款码功能的商户需经过平台严格审核筛选并签订相关协议,如不幸被盗可通过商户相关信息追溯,请用户第一时间报警,微信支付会协助警方进行调查。微信支付在持续通过对商户入驻的严格审核及风控额度限制,保障用户资金安全。

4问二维码盗刷

1 二维码盗刷是怎么做到的?

上述案件中,嫌疑人是利用一个第三方支付软件去盗刷别人的付款码,达到盗刷资金的目的。在该软件上以商户身份注册,即可成为收款商户。需要收款时,只要扫描顾客的微信或支付宝付款码,然后输入金额,即可实现收款。在上述案例中,受害者被收款的账户名称均显示为“一站式24小时便利店”。

由于二维码免密限额一般为1000元,超过此限额需验证密码,因此该案嫌疑人每笔扫码的金额均在1000元以下。

吴警官表示,在作案过程中,嫌疑人扫完之后马上就走了,受害人即使当场发现被扣款也来不及了,反应过来的时候周围就只有排队的人了。”

在该软件上注册商户需要经过一定资质验证过程。吴警官介绍,据嫌疑人自述,其注册的店铺系伪造,正规流程需要商户提供身份证明、店内照片等,嫌疑人在他人店铺中,趁店主不注意拿着身份证拍了照片,假装自己是店主,然后用这些照片在软件上注册。“软件的审核流程没有那么细,嫌疑人自述的信息里没有提到营业执照的问题,只表示很简单就通过了。”

2 普通用户扫付款码能收钱吗?

在正常的手机支付过程中,顾客出示微信或支付宝的付款码,商家需要使用扫码枪或POS一体机等硬件设备来扫码,才能实现收款。“微信个人间转账与商户付款时出示的二维码并非同一个,且入口不同”。一位接近卡组织的人士告诉记者,在商户付款时出示的二维码是“被扫码”,“被扫码”只有商户的机具可以扫。

记者通过多人间互测也发现,普通手机扫描他人的“被扫码”,页面会跳转至空白页。

一家支付公司人士表示,不排除的一种可能性是商户管理不严,移动POS机被人拿去盗用了。“但是移动POS机要扫码很困难,那么大的一个东西,而且必须要很近才能扫到。不排除恶意分子,借助支持微信二维码的收款APP或者变造设备进行扫码收款进行盗刷。”

那么,是否存在把扫码软件内嵌在手机中这样变造设备的可能?上述接近卡组织人士表示,理论上有点难,因为密钥罐装是有专门的厂商才有资质的,全国没有几个厂商有资质。“如果犯罪分子有这个技术,绝对是黑客级。”

对于警方透露的嫌疑人盗刷二维码一事暴露出的漏洞,上述卡组织人士认为,可能是第三方商户管理不严所致。一位支付分析人也认为,有些小型支付机构确实存在审核不严的问题,这种行为主要是为争抢商户。

3 通过二维码盗刷资金的情况多吗?

发生二维码盗刷的概率大吗?新京报记者通过对周围的二维码支付用户采访得知,他们没有经历过二维码被盗刷的情况,也没有听过说身边有人被盗刷。

腾讯方面5月27日提供给记者的一份材料称,二维码被“隔空盗刷”是出现概率极低的事件,在消费者不知情的情况下,“隔空”盗刷数万元,基本上不存在。而且在实际生活中,入侵商户视频监控设备,是一件技术门槛很高,实际操作起来难度很大。

不过,在现实中,不时有二维码盗刷的案件见诸报道。本案中盗刷的方式是利用软件假冒商家,在线下找机会扫他人的付款码,二维码盗刷还有其他方式。

一种较为典型的盗刷方式是偷换商家收款二维码来盗刷。据央视2016年12月报道,广东佛山发生一起偷换商家二维码盗刷案件,作案团伙在商家原本的收款二维码上贴上一个更小的二维码,这样顾客扫描二维码付的钱就转移到了作案团伙的账户上。

除了普通商户可能被偷换收款二维码之外,常见的还有交通罚单、水电缴费单等二维码被偷换的案例,甚至包括共享单车上的二维码。

还有一种方式不属于直接的二维码盗刷,而是以二维码为入口传播木马病毒或恶意软件。2017年就有媒体曾报道过类似案例,作案者发出一张二维码图片,称其中为商品信息或优惠信息,用户扫描之后,二维码中隐藏的木马病毒被植入用户手机中,可能会盗取相关手机上的银行账号、支付密码等信息,造成财产损失。

4 用户如何保护手机账户资金安全?

对于经常使用二维码支付的用户来说,怎么才能保护自己的资金安全?

腾讯在给记者的回复中提醒到,微信支付用户在付款前可以留意周边环境,不要提前打开付款码,付款时再打开付款码完成支付。

上述接近卡组织的人士也提醒到,一方面用户可以调低免密支付限额或关掉免密支付,另一方面理论上建议大家改变支付习惯,“不要在排队的时候就去打开付款码,而是等快轮到自己交易的时候在做。”此外,建议打开指纹验证,这样安全性更高一些。

5月27日,江苏网警也通过微博发布提醒:使用二维码付款时,应注意观察身后有无可疑人员。同时,广大市民也可以关闭“免密支付”功能,降低支付安全风险。

如果发生二维码盗刷造成资金损失,用户该怎么办?

微信方面表示,若不幸遭遇资金被盗,用户可以通过“我-支付-钱包-安全保障-百万保障”,点击“进入赔付流程”申请被盗赔付,或在账单详情中投诉,会有专业客服团队进行处理,确认被盗情况属实,微信支付会对被盗金额进行全额赔付。

腾讯在提供给记者资料中也提到,支持小额免密功能的商户经过平台严格审核筛选并签订了相关协议。如果不幸发生资金被盗,可通过商户相关信息追溯资金去向。

  • 社评:香港首现“暴力退潮”,挑战仍很严峻
    香港反对派星期天在维多利亚公园举行集会,组织者民阵声称参加者为170万,但警方表示最高峰人数为12.8万。这个规模是近期最大的,但比之前两次的最大示威规模小了一大块。
  • APP窥探隐私行为需要各方“较真儿”
    8月13日,《2019年上半年我国互联网网络安全态势》发布,报告指出,每款APP应用平均收集20项个人信息,大量APP存在探测其他APP或读写用户设备文件等异常行为,这再度引发公众对移动APP违法违规收集使用个人信息问题的热议。
  • 人民财评:“对康美药业罚酒三杯”系误读
    公司罚款60万元,实际控制人及主管罚款10至90万元不等并终身市场禁入,这是此前证监会对康美药业及相关当事人的处罚。相比康美药业887亿元货币资金造假的行为,有人用“罚酒三杯”来形容其受到的处罚。
  • 体罚与惩戒的界限唯良知可究
    近日,“拦路打老师案”宣判,殴打老师的常仁尧犯寻衅滋事罪,判处有期徒刑一年半。常仁尧坚决要上诉,其家属则表示将追究老师责任,举报其20年前对常仁尧的体罚。
  • 台风天外卖平台应停止派单
    8月10日21时许,上海市第六人民医院抢救室收治了一名触电的外卖送餐员。
  • 人民网评:总书记的回信纸短情长,见证为民大爱
    纸短情长,见字如面。从脱贫攻坚,到志愿服务;从大学校园,到民营企业;从祖国边疆,到创新一线……党的十八大以来,习近平总书记多次给基层干部群众回信,饱含深情、字字暖心、催人奋进,体现着心心相印的人民情怀,蕴含着对治国理政的深刻思考,表达着对奋进新时代的殷切希望。
  • 人民快评:止暴制乱,媒体的“机位”不能跑偏
    偏袒一方拉偏架的,一定不是好仲裁;向着一方吹黑哨的,一定不是好球证;抛开事实真相只会煽风点火的,一定不是好媒体。获取这些常识性的体验和判断,不需要高深学问、丰富阅历,稍微动脑想想即可。
  • 机票默认搭售为何有禁不止
    事实上,机票销售类企业的“默认搭售”行为,早在2017年8月就被民航局发规范明令禁止。
  • 北青报:“破7”不是洪水猛兽
    中国经济持续稳定健康发展,为人民币汇率稳定打下了坚实的基础。我们要提高有效应对各种问题和风险的能力,对汇率变动既要保持战略定力,不因“破7”而惊慌失措,也要在战术上予以高度重视,采取积极措施,有效避免人民币贬值带来的各种挑战,努力保持人民币汇率长期稳定。
  • 坚决支持香港警方严正执法制止暴力
    从围攻立法会、香港中联办,到围攻警署、制造爆炸品等暴力武器,香港近期暴力行为不断升级,已令所有关爱香港的人痛心不已。香港当务之急是坚决支持香港警方严正执法制止暴力,尽快恢复社会安定,维护香港良好法治。
  • “保时捷女”反遭一耳光:公共空间不容耍横
    网络代有热搜出,最新的热门话题是“保时捷女司机当街掌掴男司机遭反削”。事发时间是7月30日上午,地点为重庆渝北区两路附近。
  • 房住不炒!地方政府需向改革和开放要发展
    7月30日,中共中央政治局召开会议,分析研究当前经济形势,部署下半年经济工作。当前我国经济形势怎么看?下半年经济工作怎么干?会议就此给出最新判断和部署,值得高度关注。其中一个表述在网络刷屏——坚持房子是用来住的、不是用来炒的定位,落实房地产长效管理机制,不将房地产作为短期刺激经济的手段。
  • Outside meddling has colored protests: China Daily editorial
    Following the storming of the Legislative Council and the vandalizing of the Liaison Office of the Central People's Government in the Hong Kong Specia
  • “逃避式考研”渐热?青春何妨多些选择
    中国教育在线发布的《2019年全国研究生招生调查报告》中,报考研究生的首要动机为提高就业竞争力,占比为36%;而《2018年全国研究生招生调查报告》显示,考研动机为比较茫然、还没有做好就业准备以及为就业“备胎”,分别达到30%、21%;《2016年全国研究生招生调查报告》则显示,暂时不想就业、逃避步
  • 短视频如何实现长发展
    下班路上“刷一刷”,等电梯时“抖一抖”,吃美食前“拍一拍”……如今,各类短视频应用已融入不少人的日常生活。与此同时,如何有效防沉迷,成为一道现实课题。据报道,在国家网信办指导下,目前国内已有21家主要网络视频平台上线“青少年防沉迷系统”。
  • 大办“升学宴”不可取
    眼下高考录取工作已渐入佳境,不少家长在孩子收到大学录取通知书后,第一件事就是为孩子筹办“升学宴”。
  • 实训“鬼屋扮鬼”止于严惩
    近日,渤海理工职业学院“模块化教学”引发争议。有微博网友爆料称,学校将学生送往外地参与实训,但岗位与专业不符,比如会计专业学生在北京欢乐谷鬼屋扮鬼、检查游戏设备,且工作超时、没有工资。
  • 恶意敲诈快递员何以屡得逞
    “苍蝇不叮无缝蛋”,该事件中,恶意投诉就是“叮”,“以罚代管”的投诉处理机制则是“有缝的蛋”。
  • 人民快评:不上领奖台只能让霍顿显得更矮
    7月21日,在2019光州世界游泳锦标赛男子400米自由泳决赛中,中国选手孙杨豪取四连冠。赛后,亚军澳大利亚选手霍顿拒绝登台领奖,现场观众嘘声一片,例行的合影更是留下霍顿比另两人“矮一截”的奇怪景象。22日,国际泳联发表声明,警告了澳大利亚游泳管理机构和霍顿。
  • 周杰伦粉丝打榜:实力不应被饭圈逻辑捆绑
    近日,周杰伦的粉丝在微博为周杰伦打了一场关于流量的战役。自从周杰伦被质疑微博数据差后,周杰伦的“老年”粉丝便在微博超话的栏目下展开了反攻,号召大家一起为周杰伦“做数据”,转发各种“打榜”教程,表示要冲到超话排名第一位。
重庆华人会信息技术有限公司
华人会(深圳)互联网有限公司
华人会国际开发有限公司
备案号:粤ICP备16030660号-1
HRH (SHENZHEN) CO., LTD.   Copyright © 2015-2018 hrhapp.org   All Rights Reserved.
客户服务:service@hrh.org   商务合作:cobiz@hrh.org

渝公网安备 50010902000754号