二維碼易被盜刷?關(guān)掉免密支付更安全
新京報
二維碼易被盜刷?關(guān)掉免密支付更安全
警方破獲二維碼盜刷案,騰訊回應(yīng)稱,全額賠付保用戶資金安全;記者發(fā)現(xiàn),第三方軟件可盜刷二維碼
消費(fèi)不用帶現(xiàn)金,只需打開二維碼輕輕一刷。微信、支付寶等推出二維碼支付給人們的生活帶來了極大的便捷。不過,在享受這種便捷體驗性的同時,二維碼支付也暴露出一些風(fēng)險。近日,在重慶就發(fā)生了消費(fèi)者使用二維碼支付時資金被盜的案件。雖然用戶被盜資金多為幾百元,警方也成功破了案,被盜刷錢也退還給受害者,但案件仍然引發(fā)用戶對二維碼支付的擔(dān)憂。
騰訊方面5月27日回復(fù)新京報記者稱,對盜刷案件深表歉意,并表示微信支付在持續(xù)通過對商戶入駐的嚴(yán)格審核及風(fēng)控額度限制,保障用戶資金安全。
偷掃用戶付款碼盜刷資金
據(jù)央視新聞5月26日報道,近日,重慶江北公安分局成功破獲了一起在超市收銀處專門盜刷微信資金案件。4月21日至5月4日之間,四名受害人手持微信二維碼在超市等待付款,被人從背后通過手機(jī)掃碼,盜刷500到900元不等的資金。民警已于5月13日將嫌疑人彭某抓獲。
據(jù)報道,本案中,作案者專門在超市收銀臺附近游逛,尋找提前拿出付款二維碼準(zhǔn)備付款的顧客,再用手機(jī)遠(yuǎn)程掃描一下顧客的付款碼,隨后立即轉(zhuǎn)身離開,全部過程用時僅十幾秒時間。
據(jù)重慶江北公安分局吳警官向新京報記者透露,嫌疑人的盜刷過程是利用一個手機(jī)APP,通過這個APP手機(jī)就變成了掃碼槍,嫌疑人掃完顧客的二維碼后輸入收款金額,資金立即被盜刷,扣款方名稱顯示為“一站式24小時便利店”,而不是顧客所處的超市名稱。
負(fù)責(zé)承辦該案件的江北區(qū)觀音橋商業(yè)區(qū)派出所接連接到多起類似報案,后警方通過調(diào)取監(jiān)控錄像,鎖定了嫌疑人,并將其抓獲。吳警官介紹,該嫌疑人一共掃了三筆,每筆都不到1000元,盜竊罪是1000元以上立案,2000元以上處理。“雖然單筆金額不夠刑事處罰,但一年內(nèi)三次作案就構(gòu)成了。”
騰訊回應(yīng):如被盜可追溯商戶信息
5月27日,騰訊方面針對該案回復(fù)新京報記者稱,“對于本次盜刷案件的發(fā)生我們深表歉意,目前該案件犯罪嫌疑人已被警方抓獲,并將盜刷費(fèi)用退還給受害者”。
“為保障支付的安全性,微信支付付款碼時效性限制為1分鐘且僅有一次有效性”,騰訊方面還表示,若不幸遭遇資金被盜,用戶可以通過微信支付的“百萬保障”,申請被盜賠付,或在賬單詳情中投訴,會有專業(yè)客服團(tuán)隊進(jìn)行處理,確認(rèn)被盜情況屬實(shí),微信支付會對被盜金額進(jìn)行全額賠付。
二維碼支付接入商戶的約束方面,騰訊稱,支持付款碼功能的商戶需經(jīng)過平臺嚴(yán)格審核篩選并簽訂相關(guān)協(xié)議,如不幸被盜可通過商戶相關(guān)信息追溯,請用戶第一時間報警,微信支付會協(xié)助警方進(jìn)行調(diào)查。微信支付在持續(xù)通過對商戶入駐的嚴(yán)格審核及風(fēng)控額度限制,保障用戶資金安全。
4問二維碼盜刷
1 二維碼盜刷是怎么做到的?
上述案件中,嫌疑人是利用一個第三方支付軟件去盜刷別人的付款碼,達(dá)到盜刷資金的目的。在該軟件上以商戶身份注冊,即可成為收款商戶。需要收款時,只要掃描顧客的微信或支付寶付款碼,然后輸入金額,即可實(shí)現(xiàn)收款。在上述案例中,受害者被收款的賬戶名稱均顯示為“一站式24小時便利店”。
由于二維碼免密限額一般為1000元,超過此限額需驗證密碼,因此該案嫌疑人每筆掃碼的金額均在1000元以下。
吳警官表示,在作案過程中,嫌疑人掃完之后馬上就走了,受害人即使當(dāng)場發(fā)現(xiàn)被扣款也來不及了,反應(yīng)過來的時候周圍就只有排隊的人了。”
在該軟件上注冊商戶需要經(jīng)過一定資質(zhì)驗證過程。吳警官介紹,據(jù)嫌疑人自述,其注冊的店鋪系偽造,正規(guī)流程需要商戶提供身份證明、店內(nèi)照片等,嫌疑人在他人店鋪中,趁店主不注意拿著身份證拍了照片,假裝自己是店主,然后用這些照片在軟件上注冊。“軟件的審核流程沒有那么細(xì),嫌疑人自述的信息里沒有提到營業(yè)執(zhí)照的問題,只表示很簡單就通過了。”
2 普通用戶掃付款碼能收錢嗎?
在正常的手機(jī)支付過程中,顧客出示微信或支付寶的付款碼,商家需要使用掃碼槍或POS一體機(jī)等硬件設(shè)備來掃碼,才能實(shí)現(xiàn)收款。“微信個人間轉(zhuǎn)賬與商戶付款時出示的二維碼并非同一個,且入口不同”。一位接近卡組織的人士告訴記者,在商戶付款時出示的二維碼是“被掃碼”,“被掃碼”只有商戶的機(jī)具可以掃。
記者通過多人間互測也發(fā)現(xiàn),普通手機(jī)掃描他人的“被掃碼”,頁面會跳轉(zhuǎn)至空白頁。
一家支付公司人士表示,不排除的一種可能性是商戶管理不嚴(yán),移動POS機(jī)被人拿去盜用了。“但是移動POS機(jī)要掃碼很困難,那么大的一個東西,而且必須要很近才能掃到。不排除惡意分子,借助支持微信二維碼的收款A(yù)PP或者變造設(shè)備進(jìn)行掃碼收款進(jìn)行盜刷。”
那么,是否存在把掃碼軟件內(nèi)嵌在手機(jī)中這樣變造設(shè)備的可能?上述接近卡組織人士表示,理論上有點(diǎn)難,因為密鑰罐裝是有專門的廠商才有資質(zhì)的,全國沒有幾個廠商有資質(zhì)。“如果犯罪分子有這個技術(shù),絕對是黑客級。”
對于警方透露的嫌疑人盜刷二維碼一事暴露出的漏洞,上述卡組織人士認(rèn)為,可能是第三方商戶管理不嚴(yán)所致。一位支付分析人也認(rèn)為,有些小型支付機(jī)構(gòu)確實(shí)存在審核不嚴(yán)的問題,這種行為主要是為爭搶商戶。
3 通過二維碼盜刷資金的情況多嗎?
發(fā)生二維碼盜刷的概率大嗎?新京報記者通過對周圍的二維碼支付用戶采訪得知,他們沒有經(jīng)歷過二維碼被盜刷的情況,也沒有聽過說身邊有人被盜刷。
騰訊方面5月27日提供給記者的一份材料稱,二維碼被“隔空盜刷”是出現(xiàn)概率極低的事件,在消費(fèi)者不知情的情況下,“隔空”盜刷數(shù)萬元,基本上不存在。而且在實(shí)際生活中,入侵商戶視頻監(jiān)控設(shè)備,是一件技術(shù)門檻很高,實(shí)際操作起來難度很大。
不過,在現(xiàn)實(shí)中,不時有二維碼盜刷的案件見諸報道。本案中盜刷的方式是利用軟件假冒商家,在線下找機(jī)會掃他人的付款碼,二維碼盜刷還有其他方式。
一種較為典型的盜刷方式是偷換商家收款二維碼來盜刷。據(jù)央視2016年12月報道,廣東佛山發(fā)生一起偷換商家二維碼盜刷案件,作案團(tuán)伙在商家原本的收款二維碼上貼上一個更小的二維碼,這樣顧客掃描二維碼付的錢就轉(zhuǎn)移到了作案團(tuán)伙的賬戶上。
除了普通商戶可能被偷換收款二維碼之外,常見的還有交通罰單、水電繳費(fèi)單等二維碼被偷換的案例,甚至包括共享單車上的二維碼。
還有一種方式不屬于直接的二維碼盜刷,而是以二維碼為入口傳播木馬病毒或惡意軟件。2017年就有媒體曾報道過類似案例,作案者發(fā)出一張二維碼圖片,稱其中為商品信息或優(yōu)惠信息,用戶掃描之后,二維碼中隱藏的木馬病毒被植入用戶手機(jī)中,可能會盜取相關(guān)手機(jī)上的銀行賬號、支付密碼等信息,造成財產(chǎn)損失。
4 用戶如何保護(hù)手機(jī)賬戶資金安全?
對于經(jīng)常使用二維碼支付的用戶來說,怎么才能保護(hù)自己的資金安全?
騰訊在給記者的回復(fù)中提醒到,微信支付用戶在付款前可以留意周邊環(huán)境,不要提前打開付款碼,付款時再打開付款碼完成支付。
上述接近卡組織的人士也提醒到,一方面用戶可以調(diào)低免密支付限額或關(guān)掉免密支付,另一方面理論上建議大家改變支付習(xí)慣,“不要在排隊的時候就去打開付款碼,而是等快輪到自己交易的時候在做。”此外,建議打開指紋驗證,這樣安全性更高一些。
5月27日,江蘇網(wǎng)警也通過微博發(fā)布提醒:使用二維碼付款時,應(yīng)注意觀察身后有無可疑人員。同時,廣大市民也可以關(guān)閉“免密支付”功能,降低支付安全風(fēng)險。
如果發(fā)生二維碼盜刷造成資金損失,用戶該怎么辦?
微信方面表示,若不幸遭遇資金被盜,用戶可以通過“我-支付-錢包-安全保障-百萬保障”,點(diǎn)擊“進(jìn)入賠付流程”申請被盜賠付,或在賬單詳情中投訴,會有專業(yè)客服團(tuán)隊進(jìn)行處理,確認(rèn)被盜情況屬實(shí),微信支付會對被盜金額進(jìn)行全額賠付。
騰訊在提供給記者資料中也提到,支持小額免密功能的商戶經(jīng)過平臺嚴(yán)格審核篩選并簽訂了相關(guān)協(xié)議。如果不幸發(fā)生資金被盜,可通過商戶相關(guān)信息追溯資金去向。
(記者 顧志娟 程維妙 羅亦丹)
責(zé)任編輯:劉寧芬