形形色色的二維碼詐騙

沈臻懿

不知從何時起，一種黑白相間、形似迷宮的二維碼融入了人們的日常生活。無論是移動支付、社交媒體，還是網址登錄、應用程序等，只需掏出手機掃一掃，即可輕松搞定。但二維碼技術在為人們的生活帶來極大便利的同時，也被不法分子利用并“包裝”成了各類詐騙手段。為了有效防范二維碼詐騙，便需要借助相關技術手段，對各類迅速蔓延的二維碼詐騙活動進行防范。

當前，不少人都發現出門時可以不帶錢包，但絕對不能不帶手機。外出購物付款時直接掃描二維碼支付已成為不少人士的消費首選。作為移動互聯網的入門通道，二維碼已涉足應用程序、移動支付、社交媒體、用戶登錄等諸多領域。只需要抬手掃一掃，就能輕松支付賬款，且省去了掏錢與找零的麻煩。

不可否認，二維碼的出現與普及為社會生活帶來了極大的便利。但專業人員知道，二維碼制碼的技術門檻幾乎為零，不少犯罪分子已然將詐騙的罪惡之手伸向二維碼。當消費者不慎掃描被植入了木馬程序、黑客病毒或者扣款程序的二維碼后，往往不經意間就陷入了犯罪分子事先所挖好的“詐騙陷阱”！

二維碼技術的前世今生

黑白相間，形似迷宮，是很多人對于二維碼的第一印象。不知從何時起，人們的日常生活就突然和二維碼緊緊聯系在了一起。那么，我們在隨手掃碼的同時，是否考慮過這一外觀奇特的圖案究竟從何而來？其實，二維碼圖案并非一時興起的隨手涂鴉，而是通過二進制的編碼，將漢字、字母、數字等字符，轉化為一系列黑白小方框。其利用了特定的幾何學理論，按照一定的規律在二維平面上分布有黑白相間的圖形信息。

隨著智能手機的普及，利用手機掃描二維碼已成為連接線上與線下的重要路徑。二維碼符號“家族”中，存在著多種不同的碼制技術。當前人們所廣泛使用的二維碼，屬于QR碼技術，全稱為Quick Response Code。與傳統條形碼相比，QR碼技術不僅可以存儲更多的信息，更可反映諸多的數據類型。QR碼技術起源于20世紀70年代的日本，最初是日本汽車廠商為了輕松追蹤汽車零部件并進行區別而開發出的一種條碼。二維碼具有“成本低廉”“數據儲存量大”“復印傳真不失真”“信息跟隨載體移動”“糾錯能力強”等諸多優點，其在全球范圍內備受推寵，并被廣泛應用于當前的社會生活中。

當前市面上常見的二維碼主要可分為矩陣式二維條碼以及行排式或堆疊式二維條碼。矩陣式二維碼，顧名思義即是以矩陣形式所組成的條碼；行排式或堆疊式二維碼則是短截、多行的一維條碼經堆疊所形成的條碼。在代碼編制方面，二維碼借助了“0”“1”比特流的電子計算機內部邏輯概念，并利用與二進制相對應的數個幾何圖形來代表特定的文字符號信息。每種碼制的二維碼都有自身特定的字符集。每個字符都占據一定的寬度，并具有相應的校驗功能。

人們用肉眼直觀時雖然只能看到貌似雜亂無章的黑白小方格，但經光電掃描設備或圖形輸入設備的掃描與錄入后，二維碼中蘊含的信息即能被計算機系統自動識別，并能夠實現數據信息的自動處理。

二維碼支付背后的技術剖析

當前，移動支付平臺和網絡電商所推出的二維碼支付功能，使得二維碼掃一掃成為很多人的支付習慣。不過，相對于二維碼支付的火熱程度，其背后的工作原理和技術支撐往往就不為人所熟知了。

無論買方或賣方，其在使用二維碼作為支付媒介與通道時，首先都需要發起特定支付，即通過收銀系統或者支付應用程序向支付平臺服務器發送支付請求。平臺服務器在收到發起支付申請后，便會生成相關支付參數，并以二維碼圖案的形式向發起方反饋。隨后即是支付參數交換環節，簡單來說，就是由支付發起方向對方出示二維碼圖案。對方需要對支付參數進行核實，即通過收銀設備或者支付應用程序進行掃描，以便支付平臺服務器能夠對該支付參數信息進行確認。最后，交易雙方認可支付并經由支付平臺服務器完成支付后，二維碼支付的一系列環節得以實現。

二維碼詐騙新花樣

二維碼的高度普及，令其在人們的日常生活中已不可或缺。但與此同時，犯罪分子的黑手也伸向了二維碼。犯罪人利用普通民眾對于二維碼的高度信賴以及粗心大意的心態，制作了與真二維碼外形極為相近的“詐騙二維碼”，在其中植入病毒、木馬或惡意程序等，引誘消費者掃描“詐騙二維碼”，并誤導消費者在虛假界面環境下進行操作，從而騙取消費者的錢款。

來路不明的詐騙二維碼

人們在逛街或購物時，遇到“促銷送大禮”或“掃碼送獎品”等活動時，難免會心動。當前，不法分子正是利用部分民眾的這種心理，采用二維碼掃碼的方式實施詐騙活動。在商場購物時，有時會遇到所謂的“推銷員”上前搭訕，稱只需掃一掃二維碼就能夠獲得免費贈送的禮品或者有機會贏得獎金或獎品等。其實，不法分子提供的這些二維碼，系其利用專門的二維碼生成器，將黑客病毒或木馬程序鏈接于二維碼上。人們一旦在不法分子的誘使下掃描了這些二維碼，其手機就會被植入木馬程序、黑客病毒，或者在毫無察覺的情況下登錄不法分子預先設置的網站，自動下載病毒程序，從而導致其自身的個人信息、身份號、手機號碼、銀行卡號、網銀密碼等信息被竊取和泄露。

公交、地鐵或者公共場合中，有時會看到一些人拿著印刷的二維碼圖案或者手機屏幕上顯示的二維碼，“熱心”地請求乘客或路人掃描，以支持其創業或者關注某個公眾號。殊不知，在這些二維碼中，同樣有可能隱藏著一個個潛在的“詐騙陷阱”。稍有不慎，受害人就有可能財產受損。

偽造交通違章罰單上的二維碼

交通違章罰單對于駕駛車輛者而言并不陌生，但駕駛人在收到罰單時仍需要擦亮自己的眼睛。不知從何時起，不法分子已將犯罪的黑手伸向了交通違章罰單。其通過在網上搜索下載的違章停車罰單圖片，將部分文字內容進行修改后，在罰單底部新增了一個能夠向不法分子付款的二維碼圖案。若駕駛人通過掃描二維碼繳納“罰款”，手機屏幕上就會顯示出相應的轉賬界面。與傳統詐騙活動相比，“交通違章罰單”二維碼詐騙的欺騙性更強，更不易為受害人所發覺。

付款二維碼與收款二維碼的偷梁換柱

付款碼與收款碼是移動支付應用程序中兩種功能截然不同的二維碼。向他人進行付款后，就需要打開應用程序中的付款功能。付款碼頁面由一條條形碼和一個二維碼共同組成。銷售商在輸入售貨價格后會用光電掃描設備進行掃碼收款。收款碼則是本人向他人收取錢款時使用。只需輸入錢款金額，無需對方添加好友，即可通過掃描收款碼方式向本人轉賬。不法分子利用付款碼與收款碼的特點，故意混淆兩者之間的區別，使得原本應當收錢之人變成了向外付錢之人。在一些詐騙實例中，有不法分子就將詐騙的對象瞄準了不少微商。不法分子借口購買貨品時，自身零錢余額不足，提出需要使用二維碼支付，并要求微商發送付款二維碼的截圖，以便于買家直接掃描付款。隨后，不法分子往往又會假借付款二維碼錯誤或者二維碼超時等理由，引誘受害人不斷地發送付款二維碼的截圖。不法分子在收到截圖后，利用特制的掃碼工具對二維碼截圖進行盜刷。待受害人收到支付憑證，發現錢款不斷向外支付，意識到自己受騙上當時，不法分子早已將受害人拉入黑名單，從此“音信全無”。付款二維碼，就如同人們的銀行卡+密碼。正常使用時，由于手機屏幕上的二維碼處于自身掌控之下，故其付款碼往往較為安全。但如果將付款碼截圖發給他人，就好似直接將自己的銀行卡和密碼拱手送于不法分子，這對于不熟悉二維碼的受害人，是個必須引起警覺的注意點。

黏附于共享單車上的詐騙二維碼

此外，當前共享單車在大部分城市中也愈發普及，為人們的出行提供了極大便利。人們只需拿出手機，掃一掃共享單車上的二維碼，就可以輕松開啟單車上的鎖具。但有些時候，人們在掃描共享單車上的二維碼后，會發現有莫名其妙的轉賬提示出現。若不多加留意，即會造成錢款的損失。人們不禁會問，共享單車上的開鎖二維碼為什么會將錢款“卷走”呢？令共享單車“背鍋”的，實則是粘貼在其車身上的虛假二維碼。共享單車上的正規二維碼，或是采用噴漆噴涂方式，或是直接使用鉚釘固定在車身之上。不法分子利用二維碼掃一掃的特點，將植入了扣費軟件、木馬程序、黑客病毒的詐騙二維碼印刷在與真二維碼大小相近的粘貼紙上，并完全覆蓋于真二維碼表面。用戶一不留意，就可能掃描到詐騙二維碼，導致信息泄露與財產受損。

二維碼詐騙的技術防范

二維碼作為擁有特定格式，能夠在有限面積內儲存和表達信息的一種圖案，可在縱、橫兩個方位上同時對信息進行反饋。無論是付款信息、收款信息、網站網址、個人名片等，皆可借助二維碼圖案予以展示。不過，這一近年來興起的技術，正在被不法分子所利用。當前廣泛應用的二維碼屬于QR碼技術，其對市場采用了免費開放的策略。這就使得任何人皆可通過網絡途徑來下載二維碼生成器。換言之，由于二維碼的制碼技術沒有任何的準入門檻，不法分子在短短的幾分鐘時間內，就可以將一款二維碼生成器從網絡上下載，并將黑客病毒、木馬程序的網址嵌入其中，生成一個用手機等任意掃碼工具皆可讀取信息的二維碼。針對二維碼存在的安全漏洞與詐騙風險，勢必需要我們從各種技術途徑增強其防范風險的能力。

二維碼支付中，最主流的即是URL支付（URL，Uniform Resource Locator，統一資源定位符）。其受到青睞的原因，在于消費者使用客戶端掃碼后，即可以訪問商家用來宣傳、銷售商品的頁面以及網絡交易支付的頁面等。不過，在這一方式的背后，最大的安全隱患與風險即是“網絡釣魚”詐騙的存在。針對這一形式的二維碼詐騙，在技術防范時就需要采用專用支付工具（支付APP）進行支付操作，并保持支付APP處于最新版本。專用支付工具的內置掃碼功能禁止自動打開瀏覽器訪問釣魚網站。其不使用通用瀏覽器，而是由內置的瀏覽器來訪問URL。在訪問之前，專用支付工具會經過服務器先對該URL是否處于安全地址黑名單或白名單中進行核實，并由專門的后臺安全團隊對黑名單、白名單進行維護。

當前二維碼詐騙活動中，有不少發生在網絡環境下。由于網上交易全程都處于虛擬的網絡環境，交易雙方不發生直接接觸，且虛擬化的身份，使得二維碼詐騙活動具有極強的隱蔽性。不法分子利用受害人不清楚付款碼與收款碼的區別，以及某些移動支付應用程序在一定金額范圍內允許免密碼支付的功能，繼而實施詐騙。針對二維碼的這類詐騙活動，就需要人們在使用移動支付時務必保持謹慎、警惕，清楚付款碼與收款碼的不同功能與區別。切勿盲目聽從他人的“指導”與“提示”發送付款碼截圖。

筆者提醒消費者，就防范措施而言，首先應當關閉移動支付應用程序的免密碼支付功能，并設置啟用“手勢密碼”功能，以提升支付的安全性。此外，隨著技術手段的提升，付款碼的安全性能也隨著移動支付應用程序的升級而不斷增強。當用戶對付款二維碼進行截屏操作時，系統會提示“無法截屏”或者“截屏后付款碼無效”的提示，從而堵住信息泄露與錢款盜刷的漏洞。

此外，在不少室內或公共場所中，都提供有免費的Wi-Fi。人們在這些場所中，往往也較為熱衷于使用手機來連接免費Wi-Fi。但需要注意的是，免費Wi-Fi對于二維碼支付而言，存在著操作環境安全的巨大風險。免費Wi-Fi在傳輸時未經加密，存在著極大的泄密風險。此外，提供免費Wi-Fi的商家的路由器還可能被采用植入惡意代碼等方式進行劫持。消費者若在這種操作環境下使用二維碼進行網絡交易時，其自身的信息、網銀密碼、資金等就有可能在未經加密的免費Wi-Fi環境下被竊取。因此，對于二維碼支付等敏感程度較高的操作時，并不建議在免費Wi-Fi環境下實施，若必須操作時，則可使用3G或4G的環境，以保障二維碼支付操作的安全性。

編輯：黃靈 yeshzhwu@foxmail.com