◇完善针对移动互联网安全的法律和法规,对于二维码“人人皆可制作、印刷和发布”的现状予以限制,对二维码企业资质、认证、备案等予以明确规定,促进整个行业的健康发展。
曾经站在路边和地铁站台上发宣传页、优惠券的推销员,如今大多装备升级了。他们手拿一张“广告单”,动员来来往往的行人:“扫个码,关注一下呗!”
扫一扫宣传单上的二维码,关注商家公众号,定时接收商家推送的优惠信息,这种推广方式被业内人士称为“扫码地推”。为了让更多的人“扫一扫”,“扫码地推”一般还会赠送些小礼品。这看起来双赢的推销,其中却存在诸多安全风险。
浙江省嘉兴市的网店店主汪女士,使用电子设备扫描二维码时,手机网页一直没显示。觉得不对劲的汪女士登录支付宝和淘宝账户,发现账户中3万多元资金被转走。
江苏省扬州市的徐女士也因扫了个二维码,损失了2万多元。与其他受害者相比,她是幸运的。经扬州市邗江区检察院对这起新型信用卡诈骗案件提起公诉后,4名被告人均获有罪判决,这笔钱最终回到徐女士的手里。记者近日采访了北京理工大学副教授、中国民法学研究会秘书长孟强和承办此案的邗江区检察院公诉科副科长邹扬。
孟强:二维码因其信息量大、使用便利,成为物联网发展的关键技术,但近期用户手机扫描二维码后遭受损失事件在各地多发,应当引起监管部门对二维码管理漏洞的关注。二维码是用某种特定的几何图形按一定规律分布的黑白相间的图形,由于具有储存信息量大、获取信息便捷、生成简单易操作等特点,二维码已经被大范围的应用于商品溯源、物流追踪、身份认证等诸多领域。随着移动智能手机的普及,在日常生活中,用手机“扫一扫”就能添加好友、下载优惠券、支付账单、浏览网页、下载手机应用等。从百度搜索“二维码生成器”,出现了46万余个搜索出来的结果。可见二维码的生成格外的简单便捷,任何机构和组织均可随意制作和发布二维码。
孟强:正是低廉的违法成本使得二维码极易被不法分子所利用,让网络病毒、色情、反动等不良信息得以肆意发布与传播,严重威胁用户的信息安全。从用户角度而言,二维码从外观来看,无法直接识别其包含信息是不是合乎法律,不法分子通常将有毒或带插件的网址生成一个二维码,对外宣称优惠券、软件或者视频等诱导用户进行扫描,而扫码的开始即代表着风险的开始。二维码给用户所带来的风险主要有以下两种:第一种是通过恶意植入木马病毒、强制下载、注册账户等方式获取用户手机内的个人隐私信息,造成个人隐私信息泄露。第二种是通过诱导安装软件、信息验证等方式恶意扣费甚至通过木马植入方式盗刷用户储蓄卡、信用卡账户。虽然我国目前尚未颁布个人隐私信息保护法,但民法通则第5条规定,公民、法人的合法的民事权益受法律保护,任何组织和个人不得侵犯。侵权责任法第2条也规定,侵害民事权益,应当承担侵权责任。每一个公民的个人隐私信息都是其自身的合法权益,应当受到保护,通过二维码恶意获取他人信息,行为人应当就造成的损害承担相应的责任。同时,这样的行为还危及社会的经管秩序,有可能受到行政处罚。而且,恶意扣费以及盗刷账户的行为,侵害了用户的财产权益,可能构成盗窃罪、诈骗罪、信用卡诈骗罪等。
记者:二维码技术给我们的生活提供了诸多方便,也带来了风险和安全风险隐患。在“扫一扫”之前,广大新老用户怎么样提高警惕,降低信息安全风险?
孟强:天下没有免费的午餐,广大新老用户首先应当提高自身的警惕意识,选择来自安全可靠渠道的二维码进行读取。对于来历不明的二维码,特别是路边广告、电梯内广告、广告宣传单、不明网站的二维码,不要盲目扫描,如果确有必要,则要提前检测。根据中国消费者协会的相关提示,目前部分手机安全软件与二维码扫描软件合作或独立推出了带安全检测功能的二维码扫描工具。消费者扫描二维码后,这些扫描软件会自动检验测试二维码中是否包含恶意网站、手机木马病毒或恶意软件的下载链接等安全威胁。一旦检测到威胁存在,扫描软件将提醒消费者谨慎下载和安装,从而避免消费者的手机感染恶意软件,保障用户安全。良好的使用习惯是降低信息安全威胁的重要手段。同时,若用户扫描二维码后发现是非法链接,应当立即关闭链接卸载软件,阻断不法分子获取信息的途径,而一经发现个人隐私信息已经被泄露或银行卡遭盗刷,用户应当立即报警,并留存相关证据,以便警方进行调查。
邹扬:在扬州徐女士被骗一案中,徐女士在淘宝购物时用手机扫描了一个卖家发来的二维码后,银行卡就被人盗刷了2.4万余元。邗江区公安局侦查发现,一个叫“叶锦华”的人具有重大作案嫌疑,于是顺藤摸瓜抓获叶锦华等4名嫌疑犯。从2013年8月起,叶锦华、叶家良的上线陈明春与戴智豪就利用互联网租了个“二维码木马程序”,并将二人自己的手机号码预先编入该二维码木马程序中。之后,陈明春伪装成淘宝卖家“建设中国梦”卖电器,只要有买家“上钩”,他就通过淘宝旺旺将含有木马的二维码发送过去,并编造很多理由让买家相信扫描“二维码”之后能占到便宜。陈明春、戴智豪预设在木马病毒中的手机号码会自动截获被害人的手机短信(主要是截获快捷支付中的验证码),由此登录到被害人淘宝账户。通过登录淘宝账户获得被害人淘宝账户绑定的银行卡资料,并将被害人银行卡绑定到自己的易付宝账户上,再通过快捷支付方式冒用徐某的信用卡,在购物平台消费或套现。可见,网络犯罪打破了犯罪空间和目标群体的限制,作案成本低、危害范围广,且迷惑性、欺骗性更强。随着手机、互联网普及应用,各类人群都已成为犯罪团伙的侵害目标。而客观上该类案件侦破成本高、追赃很困难,目前未能形成综合有效的防范与打击机制。所以,消费者加强自我防范更为重要。
邹扬:嫌疑犯截获手机号码后,淘宝账户的密码能够最终靠手机验证码找到。知道被害人开通快捷支付功能的银行卡号,再加上控制他的手机,就能利用收到的支付随机验证码完成付款。因此,建议消费者,一是淘宝账户捆绑的手机号码与快捷支付捆绑的手机号码最好不是常用的;二是上述两个号码最好不是一个号码。这样如果一个手机中有木马病毒,另一个手机还有一道防线。
孟强:作为监管部门,想要堵塞二维码的安全漏洞,当务之急是出台二维码的使用标准,完善针对移动互联网安全的法律和法规,对于二维码“人人皆可制作、印刷和发布”的现状予以限制,对二维码企业资质、认证、备案等予以明确规定,只有这样才可以促进整个行业的健康发展。也有专家提出,由监督管理的机构或公司牵头成立“可信二维码平台”,结合数字签名技术,做到用户每扫描一个二维码即可得知此二维码是由哪个机构生成,并可保证中途未经篡改,同时也可追踪恶意二维码的来源。这也是一个切实可行的解决二维码风险的方案。同时,监管部门还应当指导二维码企业建立规范的行业自律机制。早在2002年,中国互联网协会公布了《中国互联网行业自律公约》,倡议互联网全行业从业者加入公约,并要求成员“自觉维护消费者的合法权益,保守用户个人信息秘密;不利用用户更好的提供的信息从事任何与向用户作出的承诺无关的活动,不利用技术或其他优势侵犯消费者或用户的合法权益”。行业自律作为个人隐私信息保护机制的重要手段对于个人隐私信息保护有着重要的意义,在二维码产业中逐渐树立这样的自律机制,更有助于引导全行业健康的发展。
记者:犯罪行为人使用快捷支付方式作为冒用他人信用卡的“洗钱”平台,这一新方式应否引起监管者的关注?
邹扬:易付宝、支付宝等第三方支付平台推出的快捷支付业务,可以让没有网银的用户,用绑定信用卡或储蓄卡作为快捷支付的方式付款交易。绑定时只要知道持卡人的银行卡号、身份证号、手机号,就能不用银行卡密码验证完成支付,虽然很方便,但也给骗子们留下了可乘之机。经向办案人员了解,从近年来的办案情况分析,银行资金在体系内的流向监控不有一定的问题,但如果犯罪分子通过第三方支付平台转移巨额资金,或直接购买在线游戏点卡后折价卖出,就可成功“洗钱”,有些甚至追查不到资金去向。该类犯罪严重危害社会经济安全稳定,需引起监管者的关注。
最高人民检察院 (100726)北京市东城区北河沿大街147号 (查号台) 010-12309(检察服务热线)
为了获得更好的使用,建议使用谷歌浏览器(chrome)、360浏览器、IE11浏览器。