您的位置:首頁(yè) >業(yè)界 >

偷掃用戶付款碼盜刷資金 二維碼盜刷是怎么做到的?

2019-05-28 13:31:35    來(lái)源:新京報(bào)

二維碼易被盜刷?關(guān)掉免密支付更安全

警方破獲二維碼盜刷案,騰訊回應(yīng)稱(chēng),全額賠付保用戶資金安全;記者發(fā)現(xiàn),第三方軟件可盜刷二維碼

消費(fèi)不用帶現(xiàn)金,只需打開(kāi)二維碼輕輕一刷。微信、支付寶等推出二維碼支付給人們的生活帶來(lái)了極大的便捷。不過(guò),在享受這種便捷體驗(yàn)性的同時(shí),二維碼支付也暴露出一些風(fēng)險(xiǎn)。近日,在重慶就發(fā)生了消費(fèi)者使用二維碼支付時(shí)資金被盜的案件。雖然用戶被盜資金多為幾百元,警方也成功破了案,被盜刷錢(qián)也退還給受害者,但案件仍然引發(fā)用戶對(duì)二維碼支付的擔(dān)憂。

騰訊方面5月27日回復(fù)新京報(bào)記者稱(chēng),對(duì)盜刷案件深表歉意,并表示微信支付在持續(xù)通過(guò)對(duì)商戶入駐的嚴(yán)格審核及風(fēng)控額度限制,保障用戶資金安全。

偷掃用戶付款碼盜刷資金

據(jù)央視新聞5月26日?qǐng)?bào)道,近日,重慶江北公安分局成功破獲了一起在超市收銀處專(zhuān)門(mén)盜刷微信資金案件。4月21日至5月4日之間,四名受害人手持微信二維碼在超市等待付款,被人從背后通過(guò)手機(jī)掃碼,盜刷500到900元不等的資金。民警已于5月13日將嫌疑人彭某抓獲。

據(jù)報(bào)道,本案中,作案者專(zhuān)門(mén)在超市收銀臺(tái)附近游逛,尋找提前拿出付款二維碼準(zhǔn)備付款的顧客,再用手機(jī)遠(yuǎn)程掃描一下顧客的付款碼,隨后立即轉(zhuǎn)身離開(kāi),全部過(guò)程用時(shí)僅十幾秒時(shí)間。

據(jù)重慶江北公安分局吳警官向新京報(bào)記者透露,嫌疑人的盜刷過(guò)程是利用一個(gè)手機(jī)APP,通過(guò)這個(gè)APP手機(jī)就變成了掃碼槍?zhuān)右扇藪咄觐櫩偷亩S碼后輸入收款金額,資金立即被盜刷,扣款方名稱(chēng)顯示為“一站式24小時(shí)便利店”,而不是顧客所處的超市名稱(chēng)。

負(fù)責(zé)承辦該案件的江北區(qū)觀音橋商業(yè)區(qū)派出所接連接到多起類(lèi)似報(bào)案,后警方通過(guò)調(diào)取監(jiān)控錄像,鎖定了嫌疑人,并將其抓獲。吳警官介紹,該嫌疑人一共掃了三筆,每筆都不到1000元,盜竊罪是1000元以上立案,2000元以上處理。“雖然單筆金額不夠刑事處罰,但一年內(nèi)三次作案就構(gòu)成了。”

騰訊回應(yīng):如被盜可追溯商戶信息

5月27日,騰訊方面針對(duì)該案回復(fù)新京報(bào)記者稱(chēng),“對(duì)于本次盜刷案件的發(fā)生我們深表歉意,目前該案件犯罪嫌疑人已被警方抓獲,并將盜刷費(fèi)用退還給受害者”。

“為保障支付的安全性,微信支付付款碼時(shí)效性限制為1分鐘且僅有一次有效性”,騰訊方面還表示,若不幸遭遇資金被盜,用戶可以通過(guò)微信支付的“百萬(wàn)保障”,申請(qǐng)被盜賠付,或在賬單詳情中投訴,會(huì)有專(zhuān)業(yè)客服團(tuán)隊(duì)進(jìn)行處理,確認(rèn)被盜情況屬實(shí),微信支付會(huì)對(duì)被盜金額進(jìn)行全額賠付。

二維碼支付接入商戶的約束方面,騰訊稱(chēng),支持付款碼功能的商戶需經(jīng)過(guò)平臺(tái)嚴(yán)格審核篩選并簽訂相關(guān)協(xié)議,如不幸被盜可通過(guò)商戶相關(guān)信息追溯,請(qǐng)用戶第一時(shí)間報(bào)警,微信支付會(huì)協(xié)助警方進(jìn)行調(diào)查。微信支付在持續(xù)通過(guò)對(duì)商戶入駐的嚴(yán)格審核及風(fēng)控額度限制,保障用戶資金安全。

4問(wèn)二維碼盜刷

1 二維碼盜刷是怎么做到的?

上述案件中,嫌疑人是利用一個(gè)第三方支付軟件去盜刷別人的付款碼,達(dá)到盜刷資金的目的。在該軟件上以商戶身份注冊(cè),即可成為收款商戶。需要收款時(shí),只要掃描顧客的微信或支付寶付款碼,然后輸入金額,即可實(shí)現(xiàn)收款。在上述案例中,受害者被收款的賬戶名稱(chēng)均顯示為“一站式24小時(shí)便利店”。

由于二維碼免密限額一般為1000元,超過(guò)此限額需驗(yàn)證密碼,因此該案嫌疑人每筆掃碼的金額均在1000元以下。

吳警官表示,在作案過(guò)程中,嫌疑人掃完之后馬上就走了,受害人即使當(dāng)場(chǎng)發(fā)現(xiàn)被扣款也來(lái)不及了,反應(yīng)過(guò)來(lái)的時(shí)候周?chē)椭挥信抨?duì)的人了。”

在該軟件上注冊(cè)商戶需要經(jīng)過(guò)一定資質(zhì)驗(yàn)證過(guò)程。吳警官介紹,據(jù)嫌疑人自述,其注冊(cè)的店鋪系偽造,正規(guī)流程需要商戶提供身份證明、店內(nèi)照片等,嫌疑人在他人店鋪中,趁店主不注意拿著身份證拍了照片,假裝自己是店主,然后用這些照片在軟件上注冊(cè)。“軟件的審核流程沒(méi)有那么細(xì),嫌疑人自述的信息里沒(méi)有提到營(yíng)業(yè)執(zhí)照的問(wèn)題,只表示很簡(jiǎn)單就通過(guò)了。”

2 普通用戶掃付款碼能收錢(qián)嗎?

在正常的手機(jī)支付過(guò)程中,顧客出示微信或支付寶的付款碼,商家需要使用掃碼槍或POS一體機(jī)等硬件設(shè)備來(lái)掃碼,才能實(shí)現(xiàn)收款。“微信個(gè)人間轉(zhuǎn)賬與商戶付款時(shí)出示的二維碼并非同一個(gè),且入口不同”。一位接近卡組織的人士告訴記者,在商戶付款時(shí)出示的二維碼是“被掃碼”,“被掃碼”只有商戶的機(jī)具可以掃。

記者通過(guò)多人間互測(cè)也發(fā)現(xiàn),普通手機(jī)掃描他人的“被掃碼”,頁(yè)面會(huì)跳轉(zhuǎn)至空白頁(yè)。

一家支付公司人士表示,不排除的一種可能性是商戶管理不嚴(yán),移動(dòng)POS機(jī)被人拿去盜用了。“但是移動(dòng)POS機(jī)要掃碼很困難,那么大的一個(gè)東西,而且必須要很近才能掃到。不排除惡意分子,借助支持微信二維碼的收款A(yù)PP或者變?cè)煸O(shè)備進(jìn)行掃碼收款進(jìn)行盜刷。”

那么,是否存在把掃碼軟件內(nèi)嵌在手機(jī)中這樣變?cè)煸O(shè)備的可能?上述接近卡組織人士表示,理論上有點(diǎn)難,因?yàn)槊荑€罐裝是有專(zhuān)門(mén)的廠商才有資質(zhì)的,全國(guó)沒(méi)有幾個(gè)廠商有資質(zhì)。“如果犯罪分子有這個(gè)技術(shù),絕對(duì)是黑客級(jí)。”

對(duì)于警方透露的嫌疑人盜刷二維碼一事暴露出的漏洞,上述卡組織人士認(rèn)為,可能是第三方商戶管理不嚴(yán)所致。一位支付分析人也認(rèn)為,有些小型支付機(jī)構(gòu)確實(shí)存在審核不嚴(yán)的問(wèn)題,這種行為主要是為爭(zhēng)搶商戶。

3 通過(guò)二維碼盜刷資金的情況多嗎?

發(fā)生二維碼盜刷的概率大嗎?新京報(bào)記者通過(guò)對(duì)周?chē)亩S碼支付用戶采訪得知,他們沒(méi)有經(jīng)歷過(guò)二維碼被盜刷的情況,也沒(méi)有聽(tīng)過(guò)說(shuō)身邊有人被盜刷。

騰訊方面5月27日提供給記者的一份材料稱(chēng),二維碼被“隔空盜刷”是出現(xiàn)概率極低的事件,在消費(fèi)者不知情的情況下,“隔空”盜刷數(shù)萬(wàn)元,基本上不存在。而且在實(shí)際生活中,入侵商戶視頻監(jiān)控設(shè)備,是一件技術(shù)門(mén)檻很高,實(shí)際操作起來(lái)難度很大。

不過(guò),在現(xiàn)實(shí)中,不時(shí)有二維碼盜刷的案件見(jiàn)諸報(bào)道。本案中盜刷的方式是利用軟件假冒商家,在線下找機(jī)會(huì)掃他人的付款碼,二維碼盜刷還有其他方式。

一種較為典型的盜刷方式是偷換商家收款二維碼來(lái)盜刷。據(jù)央視2016年12月報(bào)道,廣東佛山發(fā)生一起偷換商家二維碼盜刷案件,作案團(tuán)伙在商家原本的收款二維碼上貼上一個(gè)更小的二維碼,這樣顧客掃描二維碼付的錢(qián)就轉(zhuǎn)移到了作案團(tuán)伙的賬戶上。

除了普通商戶可能被偷換收款二維碼之外,常見(jiàn)的還有交通罰單、水電繳費(fèi)單等二維碼被偷換的案例,甚至包括共享單車(chē)上的二維碼。

還有一種方式不屬于直接的二維碼盜刷,而是以二維碼為入口傳播木馬病毒或惡意軟件。2017年就有媒體曾報(bào)道過(guò)類(lèi)似案例,作案者發(fā)出一張二維碼圖片,稱(chēng)其中為商品信息或優(yōu)惠信息,用戶掃描之后,二維碼中隱藏的木馬病毒被植入用戶手機(jī)中,可能會(huì)盜取相關(guān)手機(jī)上的銀行賬號(hào)、支付密碼等信息,造成財(cái)產(chǎn)損失。

4 用戶如何保護(hù)手機(jī)賬戶資金安全?

對(duì)于經(jīng)常使用二維碼支付的用戶來(lái)說(shuō),怎么才能保護(hù)自己的資金安全?

騰訊在給記者的回復(fù)中提醒到,微信支付用戶在付款前可以留意周邊環(huán)境,不要提前打開(kāi)付款碼,付款時(shí)再打開(kāi)付款碼完成支付。

上述接近卡組織的人士也提醒到,一方面用戶可以調(diào)低免密支付限額或關(guān)掉免密支付,另一方面理論上建議大家改變支付習(xí)慣,“不要在排隊(duì)的時(shí)候就去打開(kāi)付款碼,而是等快輪到自己交易的時(shí)候在做。”此外,建議打開(kāi)指紋驗(yàn)證,這樣安全性更高一些。

5月27日,江蘇網(wǎng)警也通過(guò)微博發(fā)布提醒:使用二維碼付款時(shí),應(yīng)注意觀察身后有無(wú)可疑人員。同時(shí),廣大市民也可以關(guān)閉“免密支付”功能,降低支付安全風(fēng)險(xiǎn)。

如果發(fā)生二維碼盜刷造成資金損失,用戶該怎么辦?

微信方面表示,若不幸遭遇資金被盜,用戶可以通過(guò)“我-支付-錢(qián)包-安全保障-百萬(wàn)保障”,點(diǎn)擊“進(jìn)入賠付流程”申請(qǐng)被盜賠付,或在賬單詳情中投訴,會(huì)有專(zhuān)業(yè)客服團(tuán)隊(duì)進(jìn)行處理,確認(rèn)被盜情況屬實(shí),微信支付會(huì)對(duì)被盜金額進(jìn)行全額賠付。

騰訊在提供給記者資料中也提到,支持小額免密功能的商戶經(jīng)過(guò)平臺(tái)嚴(yán)格審核篩選并簽訂了相關(guān)協(xié)議。如果不幸發(fā)生資金被盜,可通過(guò)商戶相關(guān)信息追溯資金去向。

(記者 顧志娟 程維妙 羅亦丹)

關(guān)鍵詞: 盜刷資金 二維碼盜刷

相關(guān)閱讀