4問(wèn)二維碼盜刷

　　1 二維碼盜刷是怎么做到的？

　　上述案件中，嫌疑人是利用一個(gè)第三方支付軟件去盜刷別人的付款碼，達(dá)到盜刷資金的目的。在該軟件上以商戶身份注冊(cè)，即可成為收款商戶。需要收款時(shí)，只要掃描顧客的微信或支付寶付款碼，然后輸入金額，即可實(shí)現(xiàn)收款。在上述案例中，受害者被收款的賬戶名稱均顯示為“一站式24小時(shí)便利店”。

　　由于二維碼免密限額一般為1000元，超過(guò)此限額需驗(yàn)證密碼，因此該案嫌疑人每筆掃碼的金額均在1000元以下。

　　吳警官表示，在作案過(guò)程中，嫌疑人掃完之后馬上就走了，受害人即使當(dāng)場(chǎng)發(fā)現(xiàn)被扣款也來(lái)不及了，反應(yīng)過(guò)來(lái)的時(shí)候周圍就只有排隊(duì)的人了。”

　　在該軟件上注冊(cè)商戶需要經(jīng)過(guò)一定資質(zhì)驗(yàn)證過(guò)程。吳警官介紹，據(jù)嫌疑人自述，其注冊(cè)的店鋪系偽造，正規(guī)流程需要商戶提供身份證明、店內(nèi)照片等，嫌疑人在他人店鋪中，趁店主不注意拿著身份證拍了照片，假裝自己是店主，然后用這些照片在軟件上注冊(cè)。“軟件的審核流程沒(méi)有那么細(xì)，嫌疑人自述的信息里沒(méi)有提到營(yíng)業(yè)執(zhí)照的問(wèn)題，只表示很簡(jiǎn)單就通過(guò)了。”

　　2 普通用戶掃付款碼能收錢(qián)嗎？

　　在正常的手機(jī)支付過(guò)程中，顧客出示微信或支付寶的付款碼，商家需要使用掃碼槍或POS一體機(jī)等硬件設(shè)備來(lái)掃碼，才能實(shí)現(xiàn)收款。“微信個(gè)人間轉(zhuǎn)賬與商戶付款時(shí)出示的二維碼并非同一個(gè)，且入口不同”。一位接近卡組織的人士告訴記者，在商戶付款時(shí)出示的二維碼是“被掃碼”，“被掃碼”只有商戶的機(jī)具可以掃。

　　記者通過(guò)多人間互測(cè)也發(fā)現(xiàn)，普通手機(jī)掃描他人的“被掃碼”，頁(yè)面會(huì)跳轉(zhuǎn)至空白頁(yè)。

　　一家支付公司人士表示，不排除的一種可能性是商戶管理不嚴(yán)，移動(dòng)POS機(jī)被人拿去盜用了。“但是移動(dòng)POS機(jī)要掃碼很困難，那么大的一個(gè)東西，而且必須要很近才能掃到。不排除惡意分子，借助支持微信二維碼的收款A(yù)PP或者變?cè)煸O(shè)備進(jìn)行掃碼收款進(jìn)行盜刷。”

　　那么，是否存在把掃碼軟件內(nèi)嵌在手機(jī)中這樣變?cè)煸O(shè)備的可能？上述接近卡組織人士表示，理論上有點(diǎn)難，因?yàn)槊荑€罐裝是有專門(mén)的廠商才有資質(zhì)的，全國(guó)沒(méi)有幾個(gè)廠商有資質(zhì)。“如果犯罪分子有這個(gè)技術(shù)，絕對(duì)是黑客級(jí)。”

　　對(duì)于警方透露的嫌疑人盜刷二維碼一事暴露出的漏洞，上述卡組織人士認(rèn)為，可能是第三方商戶管理不嚴(yán)所致。一位支付分析人也認(rèn)為，有些小型支付機(jī)構(gòu)確實(shí)存在審核不嚴(yán)的問(wèn)題，這種行為主要是為爭(zhēng)搶商戶。

　　3 通過(guò)二維碼盜刷資金的情況多嗎？

　　發(fā)生二維碼盜刷的概率大嗎？新京報(bào)記者通過(guò)對(duì)周圍的二維碼支付用戶采訪得知，他們沒(méi)有經(jīng)歷過(guò)二維碼被盜刷的情況，也沒(méi)有聽(tīng)過(guò)說(shuō)身邊有人被盜刷。

　　騰訊方面5月27日提供給記者的一份材料稱，二維碼被“隔空盜刷”是出現(xiàn)概率極低的事件，在消費(fèi)者不知情的情況下，“隔空”盜刷數(shù)萬(wàn)元，基本上不存在。而且在實(shí)際生活中，入侵商戶視頻監(jiān)控設(shè)備，是一件技術(shù)門(mén)檻很高，實(shí)際操作起來(lái)難度很大。

　　不過(guò)，在現(xiàn)實(shí)中，不時(shí)有二維碼盜刷的案件見(jiàn)諸報(bào)道。本案中盜刷的方式是利用軟件假冒商家，在線下找機(jī)會(huì)掃他人的付款碼，二維碼盜刷還有其他方式。

　　一種較為典型的盜刷方式是偷換商家收款二維碼來(lái)盜刷。據(jù)央視2016年12月報(bào)道，廣東佛山發(fā)生一起偷換商家二維碼盜刷案件，作案團(tuán)伙在商家原本的收款二維碼上貼上一個(gè)更小的二維碼，這樣顧客掃描二維碼付的錢(qián)就轉(zhuǎn)移到了作案團(tuán)伙的賬戶上。

　　除了普通商戶可能被偷換收款二維碼之外，常見(jiàn)的還有交通罰單、水電繳費(fèi)單等二維碼被偷換的案例，甚至包括共享單車上的二維碼。

　　還有一種方式不屬于直接的二維碼盜刷，而是以二維碼為入口傳播木馬病毒或惡意軟件。2017年就有媒體曾報(bào)道過(guò)類似案例，作案者發(fā)出一張二維碼圖片，稱其中為商品信息或優(yōu)惠信息，用戶掃描之后，二維碼中隱藏的木馬病毒被植入用戶手機(jī)中，可能會(huì)盜取相關(guān)手機(jī)上的銀行賬號(hào)、支付密碼等信息，造成財(cái)產(chǎn)損失。

　　4 用戶如何保護(hù)手機(jī)賬戶資金安全？

　　對(duì)于經(jīng)常使用二維碼支付的用戶來(lái)說(shuō)，怎么才能保護(hù)自己的資金安全？

　　騰訊在給記者的回復(fù)中提醒到，微信支付用戶在付款前可以留意周邊環(huán)境，不要提前打開(kāi)付款碼，付款時(shí)再打開(kāi)付款碼完成支付。

　　上述接近卡組織的人士也提醒到，一方面用戶可以調(diào)低免密支付限額或關(guān)掉免密支付，另一方面理論上建議大家改變支付習(xí)慣，“不要在排隊(duì)的時(shí)候就去打開(kāi)付款碼，而是等快輪到自己交易的時(shí)候在做。”此外，建議打開(kāi)指紋驗(yàn)證，這樣安全性更高一些。

　　5月27日，江蘇網(wǎng)警也通過(guò)微博發(fā)布提醒：使用二維碼付款時(shí)，應(yīng)注意觀察身后有無(wú)可疑人員。同時(shí)，廣大市民也可以關(guān)閉“免密支付”功能，降低支付安全風(fēng)險(xiǎn)。

　　如果發(fā)生二維碼盜刷造成資金損失，用戶該怎么辦？

　　微信方面表示，若不幸遭遇資金被盜，用戶可以通過(guò)“我-支付-錢(qián)包-安全保障-百萬(wàn)保障”，點(diǎn)擊“進(jìn)入賠付流程”申請(qǐng)被盜賠付，或在賬單詳情中投訴，會(huì)有專業(yè)客服團(tuán)隊(duì)進(jìn)行處理，確認(rèn)被盜情況屬實(shí)，微信支付會(huì)對(duì)被盜金額進(jìn)行全額賠付。

　　騰訊在提供給記者資料中也提到，支持小額免密功能的商戶經(jīng)過(guò)平臺(tái)嚴(yán)格審核篩選并簽訂了相關(guān)協(xié)議。如果不幸發(fā)生資金被盜，可通過(guò)商戶相關(guān)信息追溯資金去向。

　　（記者 顧志娟 程維妙 羅亦丹）