二維碼騙局頻發 「見碼就掃」易破財
胡國球 攝
「手機掃了一個二維碼,開淘寶店的劉先生去銀行取錢發現銀行卡的餘額為0」;「真坑人啊,一掃賣家發的二維碼,50多元的話費沒了。」近日,類似關於二維碼的「訴苦」可謂層出不窮,許多網友在掃描二維碼或者接收別人發送的文件安裝之後,發現自己的銀行卡被消費,受害網民往往損失慘重:不少小偷會將銀行卡活期存款洗劫一空。
隨著微博、微信、支付寶等應用的普及,二維碼已經成為一種比較普遍的信息渠道。消費者將手機鏡頭對準二維碼可以掃描出很多有用的信息,例如:商品的價格、商品的生產地等等。二維碼最初的使用與推廣為消費者帶來了很多便利,但同時也有越來越多的不法分子利用二維碼的漏洞行騙。為什麼曾經為消費者提供便利的二維碼如今會變成陷阱呢?
隨便掃碼導致金錢損失
據資料顯示,二維碼是用特定的幾何圖形按一定規律在平面(二維方向)上分布的黑白相間的圖形,是所有信息數據的一把鑰匙。在現代商業活動中,可實現的應用十分廣泛,如:產品防偽、溯源、廣告推送、網站鏈接、數據下載、商品交易、電子憑證、信息傳遞共享等等。事實上二維碼的發明在最初為消費者提供了很大的便利。消費者通過手機輕輕一掃就可以獲得不少商品的信息。
但是,近日有不少網友反映:手機在掃完二維碼之後出現了很多意想不到的「狀況」。鄒先生是一名淘寶賣家,專門經營門窗製作和安裝。不久前,一位陌生買家主動與鄒先生聯繫,卻不提想買什麼商品,而是在聊天消息里發來一個二維碼,說「用手機微信掃一下就可以看到想買的門窗詳細資料」。據鄒先生向360網購先賠中心反饋,他在安裝二維碼中的軟體後,對方以「方便聯繫」為由索要了他的手機號碼,然後借口去吃飯而離開。鄒先生本來也沒在意,但一個小時後,他忽然發現自己的旺旺賬號登不上了,原來是密碼已經被人修改,之後再查看支付寶賬戶,發現不光餘額中的3000元被盜,與支付寶綁定的建行卡也被消費了2000元,而他的賬戶也已被關聯到了一個陌生手機號註冊的支付寶賬戶上。
不光是賣家被二維碼坑害,買家也會被二維碼所迷惑。網友張女士向記者反映:她在網購中看好一款衣服,店主聲稱掃描了二維碼可以獲取更多信息。於是她掃描了二維碼並按照指示安裝了軟體,結果等待她的不是更詳細的信息而是手機的死機,這時張女士再找店家,店家已經下線了。張女士正是在騙子的指導下掃描了他們事先製作好帶有木馬病毒的二維碼,致使手機癱瘓。
事實上,目前市場上類似張女士這樣掃描了二維碼後手機出問題的並不是少數現象,相反這只是二維碼騙局中最低端的一種,不法分子最終的目標永遠都是消費者口袋裡的錢。而鄒先生的支付賬戶為什麼會離奇被盜?小小二維碼又是如何偷錢的?
二維碼暗藏病毒
據了解,受害者資金被盜之前,大多有使用安卓手機掃描二維碼,或者使用安卓手機接收、安裝不明apk文件的經歷。金山毒霸安全專家指出,網銀資金的被盜與這些apk文件有直接關係,由於受害者安全意識較差,輕易在自己手機上安裝陌生人提供的程序,才會有資金被盜的事件發生。「這些apk文件都是手機病毒,功能非常簡單:將受害者手機簡訊攔截下來,通過簡訊轉發或者電子郵件傳輸簡訊內容,簡訊內容的關鍵信息是網銀或第三方支付網站發送的驗證碼。」金山毒霸安全專家說,「病毒本身並不能獨立完成盜竊網銀資金的功能,最核心的威脅是盜取驗證碼,我們將這類病毒取名為驗證碼大盜」。金山毒霸安全中心分析了近200個驗證碼大盜,發現有的是直接攔截所有手機簡訊到病毒作者的手機上,這時,受害者手機將不能收到任何簡訊。有的驗證碼大盜對簡訊內容做了篩選,只攔截內容中含「銀行、驗證碼、支付」等關鍵字的簡訊,通過簡訊轉發或郵件發送獲得簡訊內容。這種更加隱蔽,等消費者發現異常時,銀行卡餘額已被洗劫。
只拿走簡訊,銀行卡里的錢怎麼會丟呢?許多人沒注意到,手機簡訊實際成為網銀支付、快捷支付的安全基石。網銀功能的開通、支付工具的登錄和消費,都使用手機簡訊驗證身份,當你的手機被安裝了攔截簡訊的木馬,就相當於你的手機此刻在別人手上。而這個拿你手機的人,又通過其他渠道對受害者個人信息了如指掌,就好像一個熟知你一切的人。一個人知道你的一切,又拿走了你的手機,就可以隨心所欲支配你的銀行卡。
安全專家介紹,編寫驗證碼大盜並不需要高深的技巧,實際上有些驗證碼大盜病毒作者是十足的菜鳥。在病毒編碼中可輕易發現小偷手機號和郵箱賬號密碼。登錄這些用來收集受害人簡訊的郵箱有了更加驚人的發現:驗證碼大盜作者收集簡訊的郵件有數千封之多,受害者成百上千。包括網銀、支付寶等多家支付工具淪為驗證碼大盜的獵物。金山毒霸安全中心通過對驗證碼大盜的分析統計後表示,驗證碼大盜的活躍程度已經超過幾年前在電腦上泛濫的網購木馬,驗證碼大盜對網民造成的實際損失也大大超過以往的網購木馬。驗證碼大盜已成為智能手機用戶網銀安全的頭號敵人。
「見碼就掃」很危險
儘管二維碼在市場上越來越普遍,但是許多消費者仍沒有真正的認識到什麼是二維碼。張女士在後來也表示:「我在之前不懂什麼是二維碼,也沒有想到掃一下結果會如此嚴重。」消費者的「不了解」便為不法分子提供了可乘之機。
軟體專業人士提醒消費者:「二維碼其實就是一串網址,生成發布都很簡單。二維碼的製作也是「零門檻」的,只要下載一個二維碼生成軟體,放入相關的鏈接,就可以生成一張二維碼圖片。因此,一些人將帶有病毒程序的網址放進二維碼里,如果消費者不小心刷了,就有可能中毒。」因此專家提醒眾多消費者,在掃描二維碼之前一定要清楚它的來源,不要見到二維碼就掃描,那樣很容易掉進不法分子的圈套。一般來說,正規的報紙、雜誌以及知名商場的海報上提供的二維碼是安全的,但是在網站上發布的不知來源的二維碼需要引起警惕。
360安全專家表示,二維碼不能「見碼就掃」,尤其要警惕陌生人發來的二維碼,例如帶有軟體下載、賬號登錄網頁的二維碼,應立即關閉頁面。如果手機曾經掃描過可疑二維碼,應使用360手機衛士等專業安全軟體進行查殺,以免遭遇簡訊泄露甚至財產損失。
有手機玩家則建議,如果自己是一個「掃碼控」,應該選用專業的加入了監測功能的掃碼工具,掃到可疑網址時會有安全提醒。通過二維碼來安裝的軟體,安裝好以後,最好先用殺毒軟體掃描一遍再打開。當然,消費者們還可以選擇具有識別功能的掃碼器進行實時監控,這類手機安全軟體都已經加入了一個檢測功能,掃到可疑網址時,會做出安全提醒。
消費者面對二維碼要增強自身防範意識,如果手機和銀行卡綁定,不要在銀行卡內存儲數額過大的資金,避免發生連鎖反應造成重大損失。同時也不要受到不法分子的誘惑,例如:掃二維碼有優惠政策的圈套。政府及有關部門也應該加強對二維碼市場的管理和規範。二維碼很多自身的情況為政府及有關部門的管理增加了難度,例如:製作門檻低、無法統一設限等。因此政府更應該快速的與有關部門進行研究,製作出有效的管理方案以防止掃描二維碼詐騙案再次發生。(葉丹 王
推薦閱讀:
※二維碼調包事件的刑責分析
※HCE雲閃付能否扛起「銀行反擊二維碼支付」大旗?
※餐廳推二維碼「打賞」 服務員月賺近四千小費
※我和你的距離只差一個二維碼門禁
※在 Android 上製作一個有趣的二維碼:Awesome QR