楚天金報訊 圖為:掃二維碼的風險日益顯現,專家提醒別盲目掃碼 (記者鄒斌攝)
  圖為:工作人員演示帶病毒二維碼的生成過程 (記者鄒斌攝)
  本報記者方歷嬌 通訊員朱凌雲、李潔
  “隨手掃一掃,精彩禮物等你拿!”“掃描二維碼,加入官方購物群!”說起二維碼,你不會感覺到陌生。如今,在餐廳、地鐵、商場,甚至在街邊小廣告上,二維碼已無處不在。
  可是,由掃二維碼帶來的風險也日益顯現。
  近日,江夏區檢察院公佈一起案件:江夏一女子網上購物,店主稱掃二維碼送“紅包”,卻不料,這一掃便掃出了麻煩,不但中意的衣服沒有拍到,顧客的支付寶賬戶也少了1.8萬餘元……
  360安全中心發佈的相關報告也顯示,植入手機端的釣魚木馬正持續升溫。“掃一掃”的風險有多大?又該如何防範掃碼風險?
  掃碼送紅包 1.8萬元被“掃”走了
  去年12月13日,像往常一樣,住江夏的朱女士在淘寶上尋找自己中意的寶貝。當她看到一件價值500元的毛衣後,很是喜歡,就拍了下來。讓她驚喜的是,剛拍下寶貝,店家便跟她聯繫,說是要送她“紅包”,只要掃一下二維碼。朱女士想著快到年底了,可能真的是店家在促銷,不加思索就拿起手機對著店家發過來的二維碼掃了一下。
  卻不料,這一掃,便掃出了麻煩。
  朱女士再次上網發現,不但中意的衣服沒有拍到,自己的支付寶賬戶還少了18112元。
  慌了神的她立即報警,警方讓朱女士拿著立案號,立刻聯繫支付寶客服。很快,支付寶方面將朱女士賬戶凍結。經查,騙子用朱女士的支付寶賬戶,在網上拍下4部蘋果5S手機,並通過朱女士的支付寶賬戶付款18112元。
  而支付寶賬戶之所以出現問題,是因為朱女士手機掃碼後“中毒”。
  今年1月17日,警方在浙江餘姚市將犯罪嫌疑人李某抓獲。李某交代,他還另外作案一起,利用上述同樣的伎倆,先後10次使用受害人尹女士的支付寶賬戶購買總額為6896元的商品。
  二維碼藏毒 攔截短信改支付寶密碼
  近日,李某因涉嫌盜竊罪被移至江夏區檢察院審查起訴。
  李某使用的是什麼伎倆?怎麼手機掃了一下二維碼,支付寶賬戶就被盜了?
  據到案後的李某交代,他在一個QQ群里認識了網友宋某(已涉嫌傳授犯罪方法罪被起訴),宋某傳給他一個“apk”木馬程序,他把該木馬放到網盤裡,然後生成一個二維碼。
  之後,李某又花150元買到一個淘寶店鋪,然後傳上一些時尚漂亮衣服的照片,價格定得較低。只要顧客有意向購買,他便會發二維碼給顧客,承諾“只要手機掃碼,便能優惠”。“顧客掃了後,下載安裝apk,木馬便植入手機,我很快就能知道手機號。支付寶賬號很多就是手機號。”至於密碼,李某說,他會用支付寶密碼“手機校驗碼找回”功能,支付寶會給綁定手機發一個校驗碼短信。而木馬能攔截短信,並自動發到李某的手機上來,受害者本人卻看不到。李某表示,有了校驗碼,他就可修改支付寶登錄密碼,而且能截取淘寶、銀行發過來的驗證碼短信,很容易划走賬戶內的錢。
  ■技術實驗
  二維碼製作 一分鐘就可輕鬆完成
  360安全中心於去年12月發佈的“網購先賠”報告顯示,植入手機端的釣魚木馬正持續升溫,而二維碼逐漸成為騙子發送木馬、釣魚攻擊智能手機用戶的新興渠道。利用二維碼傳播手機木馬、盜取用戶錢財的案件頻頻發生。
  昨日,記者邀請專業製作二維碼的武漢矽感科技有限公司工作人員,實地演示二維碼的製作,並對二維碼病毒進行測試。
  工作人員首先下載了兩個帶有病毒的程序,分別是“某抽獎活動”和“某交友網站”,這也是當下經常遇到的兩種網絡詐騙。然後將病毒程序上傳至網盤,並複製下程序的鏈接。
  接著,試驗人員通過網絡搜索,找到一個在線二維碼生成器。這種生成器在網絡上很普遍,很容易找到。
  工作人員將“某抽獎活動”的病毒鏈接輸入到生成器左側的空白區域內,點擊下麵的“繼續生成”按鈕,一個二維碼就製作完成。整個過程,不到一分鐘就可以完成。
  緊接著,工作人員用自己的手機掃了掃生成的二維碼,掃碼後出現的正是“某抽獎活動”的鏈接,打開便是各種中獎信息。試驗員介紹,如果繼續操作下去,手機將中毒,手機信息將被掌控。不法分子正是用這種方法,掌控手機信息而修改支付寶密碼,從而盜走消費者的錢財。
  利用同樣的方法,工作人員製作了帶有病毒的“某交友網站”的二維碼,手機掃描後同樣是打開一個鏈接,操作下去就會手機中毒。而一旦中毒,用戶的通訊錄、銀行卡號等隱私信息、財產信息就會泄露。
  武漢矽感科技有限公司副總經理竇毅介紹,這種網上下載的二維碼生成器,使用非常簡單,很容易就生成一個二維碼。
  ■專家說法
  別盲目掃碼手機上裝安全軟件
  由二維碼產生的案件層出不窮,一些消費者希望通過“掃一掃”得到實惠,沒想到反而陷入了騙子設下的陷阱。
  如今二維碼已覆蓋到生活中的方方面面,我們應該如何辨識真假?
  昨日,武漢大學計算機學院張健教授稱,二維碼只不過是為病毒提供了一種新的渠道、新的介質。一般用戶不瞭解二維碼的原理,常常“見碼就掃”,在打折、促銷或熱門游戲的幌子下,很容易被不法分子製造的假象所迷惑。
  張健教授提醒廣大消費者,在掃描二維碼前一定要確認該碼是否出自官方和正規的網站,對於一些來路不明的二維碼,不要盲目掃描。 消費者最好在手機上安裝相應的安全軟件,如騰訊手機管家、360手機衛士等,以防止二維碼病毒侵入手機。消費者應儘量使用有安全驗證功能的軟件掃描二維碼。如果通過二維碼來安裝軟件,安裝好以後,最好先用手機殺毒軟件掃描一遍再打開。
  張教授同時呼籲,互聯網企業、各大廠商等應該負起保護用戶信息的責任,加快提升安全技術,推動業界的交流和合作,共同建造互聯網安全體系,不要讓不法分子有空子可鑽,為廣大網民營造一個健康的網絡環境。
  監管顯空白亟待加強法規建設
  湖北今天律師事務所付軍律師指出,目前市場對二維碼的監管還是“一片空白”,製作二維碼沒有任何規定,發佈二維碼也沒有任何限制,整個行業處在一種自由化的狀態。而二維碼是否藏有病毒,從外觀上是無法辨別的,用戶一旦誤掃“藏毒”二維碼,很可能導致隱私泄露、賬戶被盜等情況的發生。
  付軍律師稱,二維碼本質上只是一種信息編碼方式,是柳葉刀還是凶器關鍵看掌握在誰手中。對二維碼使用的監管缺失以及行業的低門檻才是其安全隱患的根源。
  付軍律師建議,在行業和技術標準出台之前,消費者“掃一掃”時,應儘量先核實該二維碼的來源,選擇正規企業、商家發佈的二維碼來掃描。對於監管部門來說,亟待加強惡意手機應用相關的法律法規體系建設,從信譽、認證入手,進一步規範市場發展環境,保護用戶的合法權益。
  (原標題:圖文:二維碼騙局升溫“掃一掃”要當心)
arrow
arrow
    全站熱搜

    co05cougrg 發表在 痞客邦 留言(0) 人氣()