主题 : 信息泄露致盗用欺诈频发,该如何遏制与二维码有关的违法犯罪?
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 387435
威望: 334539 点
无痕币: 575 WHB
贡献值: 0 点
在线时间: 37124(时)
注册时间: 2008-12-25
最后登录: 2018-06-22

0 信息泄露致盗用欺诈频发,该如何遏制与二维码有关的违法犯罪?

十年前,不带现金出门,
寸步难行;
十年后,带现金出门,
有时却无用武之地,
伴随着移动支付渗透到生活的方方面面,
可以说,“无现金时代”已经到来。
然而,在条码生成机制和传输过程中
仍存在风险隐患。


“在开放环境下,移动支付风险正逐渐成为主要风险类型,并呈现出隐蔽性、复杂性、交叉性等新趋势,移动手机端发生的账户盗用和欺诈呈现高发态势,给用户资金造成严重损失。”在6月6日由中国支付清算协会举办的“2018年移动支付安全便民宣传周启动仪式暨移动支付安全与创新研讨会”上,中国支付清算协会副秘书长马国光说。
”01
支持者:生活更便利
北京某购物中心停车场管理员潘师傅说:“之前车辆进出时,停车、取卡、交费,整个过程至少需要半分钟,车多的时候会更久;有了‘ETCP停车’后,车辆进出不需要停下等待交费,整个过程只需两秒,不仅用户方便了,停车场秩序也更好了,这种技术真应该在每家商场都用上。”
的确,无现金社会越来越多地被提及,甚至已经开始有人进行倒计时。
不过,在这样的大环境下,也有一批人在“逆势而行”,拒绝甚至厌恶移动支付。
在北京从事金融工作的郭涛就是坚定的现金使用者。让他感受到自己成为异类,是在一年前的一次聚会上。
“当时聚会结束,大家争着结账。可就在我从钱包里抽出一沓钱做奋勇状时,却没有收获应有的尊重。同行者已经安静地扫码、付款、确认,一切都无比流畅而安静。最后,同行者看着我说,‘现在谁还用现金啊’。”回忆当时的场景,郭涛说,“那一刻,他看着我,好像阿尔法狗看着一个围棋初学者一样。那一刻,我感受到了《三体》中所描述的,高维对低维的降维打击。”
这次打击,让郭涛开始关注身边的无现金生活,上下班地铁、公交可以刷卡,吃饭、买东西全部都可以用微信、支付宝以及刷银行卡来完成。
“我还发现了一个以前被我忽略的事实,几乎所有的小商贩都可以用移动支付完成交易,不管他是卖鸡蛋灌饼还是煎饼果子,不管他是手机贴膜还是卖西瓜,都会把微信和支付宝两个二维码印得清晰而醒目。”郭涛说,仅有的限制是,有一次孩子幼儿园组织家长捐款,只能用现金,不可以用移动支付。
02
拒绝者:安全在裸奔
无现金社会,在去年成为一个热词。支付宝和微信支付甚至分别推出了“无现金城市周”和“无现金日”,让这一概念变得如日中天。
所谓无现金社会,概言之,就是移动支付社会。这个概念的兴起,代表了中国移动支付市场开始向纵深推进,从商业交易到公共事务,从线上场景到线下场景。
纵使如此,对于一些拒绝移动支付的人来说,他们的理由也比较充分。比如郭涛,安全问题是他拒绝移动支付的主要原因。
近年来,移动支付在快速发展、改进用户体验、便利群众的同时,其风险也随之发生新的变化和转移。
“就像某一天,从你出门打车、在地铁口买早餐、午餐订外卖、星巴克下午茶、路边摊买水果,再到露天吃烧烤,这一切的消费行为都无现金,通过移动支付解决,由此产生一批又一批的交易数据。日复一日。通过这些数据,你的消费记录与生活习惯被相关公司甚至产业牢牢掌控。它们比你的家人和朋友更了解你,甚至比你自己更了解你。在它们面前,我们很可能是裸露的,并且无处可藏。”郭涛说,到目前为止,这些公司掌控数据的行为以及如何合理保护用户的隐私,似乎并没有实质性的监管,“这就是无现金社会的另一面。在某种意义上,我们无路可退,也无处可去”。
随着移动支付市场的不断扩大,一些不法分子逐渐将黑手伸向移动支付用户。其作案手段专业化、团伙化,通过网络的联系,甚至一些素未谋面的不法分子也可以分工协作,逐渐形成黑色产业链。
拖库、洗库、撞库的“黑客”——这是蒋兴鹏对于移动支付中存在的“互联网幽灵”的表述。
“近年来,国内关于用户隐私信息被窃取的事件时有发生。网络黑色产业链已经呈现低成本、高技术、高回报的爆发性增长态势,越来越多的网络黑产分子通过拖库、撞库盗取用户个人信息,给网民造成了金融资产和个人信息安全等多方面的危害。”蒋兴鹏说,在这些泄露的信息中,最容易被网络黑产集团利用牟利的就是个人姓名、手机号码、身份证号码和银行卡号,这是直接关系账户安全的四个要素。这些信息大多会被出售给黑市中的诈骗团伙和营销团伙,用来进行诈骗和恶意营销,“黑客通过入侵有价值的网络站点,盗走用户数据库,这个过程在地下产业术语里被称为拖库。在取得大量用户数据后,黑客会通过一系列技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,这通常被称作洗库。最后,黑客将得到的数据在其他网站进行尝试登录,叫撞库”。
03
核心问题:技术之痛

除此之外,还有移动支付安全的技术安全问题。
今年以来,通过社交网络平台、欺诈App软件、恶意二维码等进行诈骗的案件频发,移动支付安全已经成为用户最担心的问题之一。去年,银联累计协助公安机关查办案件3.18万件,其中涉及银行卡约92.36万张,金额4582亿元。
“技术问题是存在安全隐患的重要原因。”清华大学数据科学研究院二维码安全中心副主任沈维说,“扫码支付的二维码码制有国家标准,目前我们使用的QR码是国际标准,也是我国的国家标准。技术上虽然已经有了国家标准,但二维码在应用上还没有相应的规范。公开的二维码无人监管,且支付前的二维码管理缺失,而监管缺位的原因在于缺少技术手段。
“手机木马病毒是移动支付环境中最大的毒瘤,其中支付类病毒行为中占比比较多的为执行反射,也就是黑客为了逃避反编译,通过某种隐藏方式来调用某些API接口的行为模式。其次是隐私数据也就是手机信息上传占比比较多。同时,许多支付类病毒还会静默联网、静默删除和发送短信,主要是将用户的验证码信息转发到另一终端,从而实现银行卡的盗刷。”蒋兴鹏说,另外,钓鱼网站也是网络黑产窃取用户信息的一个惯用手段。所谓钓鱼网站即域名和页面都和正常网站非常相似的假网站,通常会模仿银行或者电信运营商的官方网站,诱导用户在钓鱼网站上输入个人信息。
“二维码犯罪隐蔽性强、传染性快,但电子证据获存困难,相关规定不健全,维权成本高。制作和发布的实施主体和责任承担主体难以明确锁定,增加了诉讼的不确定因素。”北京律师左胜高认为。
一位网络安全从业人员称,近年来涉及二维码的案件很多,其中包括非法获取公民信息、诈骗、盗刷等。对于像二维码这样的新兴技术在多领域的应用,相关监督管理部门还未出台较为有效的规章和监管机制。
对此,银联近日发布一则安全提示称,随着经济领域犯罪活动日益复杂,金融支付违法犯罪活动层出不穷,并呈现出技术含量高、传播速度快、跨境跨网络实施等新特点。为防范各类新型欺诈手法,消费者需要做好安全防范,养成谨慎上网、磁条卡要换“芯”以及认真看签购单等好习惯。
无现金支付进入生活方方面面
信息泄露导致盗用欺诈频发
移动支付该怎样找到
安全与效率平衡点
又该如何遏制与二维码有关的违法犯罪
下面,一起听听专家怎么说…
近年来,随着支付标记化等技术在移动支付中的广泛应用,客观上提高了二维码支付的安全标准。中国人民银行指导相关市场主体积极提升技术水平,制定相关技术标准,规范二维码支付业务开展。
央行此前发布的条码支付业务规范已于2018年4月1日起实施,针对条码支付技术风险,提出了一系列针对性要求。比如,加强条码安全防护,采取支付标记化、有效期控制、条码防伪识别等手段,提升条码生成、存储、展示、识读、解析、使用等环节的安全防护能力,有效保障条码的可靠性和有效性。
由于静态条码易被篡改或变造、易携带木马或病毒,央行规定,使用静态条码进行支付的,无论使用何种交易验证方式,同一客户银行或支付机构单日累计交易金额应不超过500元。支付新规还要求,做支付的机构必须要有牌照:“支付机构开展条码支付业务,应按规定取得相应的业务许可,并按相应管理办法规范开展业务。”
中国社科院中国社会科学评价中心主任荆林波认为,二维码支付若想健康发展还面临一些问题。比如,常见的二维码QR码在2000年成为国家标准,前几年国家出台了二维码的有关政策,但目前还未对二维码发布一个全面标准。“除了制定二维码支付业务规范,国家应加强二维码支付的顶层设计,制定全面的行业标准,并在全国范围内广泛推广和使用我们的国家标准。”荆林波说。
中国政法大学知识产权中心特约研究员赵占领认为,涉二维码违法犯罪有两种形式比较常见:
一种是把钓鱼网站链接做成二维码,再通过优惠促销等形式诱使人们去扫;
还有一种是把一些病毒、木马制作成二维码,扫完之后手机就会中毒,手机里的账号信息和个人信息就可能泄露。
如今,二维码在生活中可谓无处不在,那么该如何遏制与二维码有关的违法犯罪?
想要让“扫一扫”更安全,离不开监管部门和市场机构的努力,需要用户自身提高防范意识,加强自我保护。
业内专家提醒,对于网店、商家来说,不要轻易扫描陌生人发送的二维码链接,注意审查陌生人的身份以及购物需求的真实性,防止二维码中携带木马病毒,导致个人金融账户被盗。一旦手机金融账户发生异常,用户应及时与相应机构联系,启动应急机制,避免损失扩大。“扫一扫”行为的背后可能隐藏着巨大的安全隐患,比如个人信息的泄露,也有可能存在某些不法行为,尤其不要轻易提供个人的姓名、身份证、银行卡、电话、通信住址等信息。即使是可信的二维码应用,也有可能受到某些黑客不法分子恶意的利用变成恶意的二维码,应时刻保持警惕。
“无论扫描二维码还是制作二维码,都是一种客观中立的技术。目前对于制作二维码的工具还没有太好的管理手段。目前看来,应该采取社会共治的方式,再采用一些技术手段。”赵占领说。
“对二维码生成、使用的企业来说,要尽量建立二维码生成可溯源制度,通过代码添附等技术手段,使每一个二维码的生成可以追溯到制作者的身份,对制作者身份进行实名认证,但要考虑这个成本不能过高,找到效率与安全的平衡点。”赵占领说。
来源:法制日报
级别: 九滴秋露

UID: 2840
精华: 0
发帖: 20772
威望: 72640 点
无痕币: 81334 WHB
贡献值: 0 点
在线时间: 9299(时)
注册时间: 2007-12-04
最后登录: 2018-06-23

这个要注意了啊
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 387435
威望: 334539 点
无痕币: 575 WHB
贡献值: 0 点
在线时间: 37124(时)
注册时间: 2008-12-25
最后登录: 2018-06-22

这个可以看看,了解一下。
Total 0.014388(s) query 4, Time now is:06-23 08:28, Gzip enabled 粤ICP备07514325号-1
Powered by PHPWind v7.3.2 Certificate Code © 2003-13 秋无痕论坛