一文让你了解条形码支付风险
岁末年初,央行发布《条码支付业务规范(试行)》,配发《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》,终于出手治理条码(含二维码)支付乱象。下面我让我们一起看看究竟条形码支付存在着哪些风险?
岁末年初,央行发布《条码支付业务规范(试行)》,配发《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》,终于出手治理条码(含二维码)支付乱象。下面我让我们一起看看究竟条形码支付存在着哪些风险?
可视化风险
可视化风险就是我们所谓的二维码被不法分子篡改。条码在开放互联网环境下以图形化方式进行展示,例如:灌饼摊,麻辣烫摊等一些便民小摊位,不法分子可通过截屏、偷拍等手段盗取支付凭证,在支付凭证有效期内盗用资金。
案例:
杨女士在靖江市斜桥镇上做小吃生意,平时使用支付宝二维码收款。某天,杨女士突然收不到到账提醒了,当晚八点多,杨女士结束了一天的营业回到家,把这件事告诉了丈夫。丈夫立刻去查询营业款,结果根本没有收到款项。无奈之下,杨女士报了警。
经过调查,民警发现杨女士的收款二维码被人恶意“调包”。原来,为方便消费者付款,杨女士把支付宝收款二维码贴在快餐车窗口,不法分子在原二维码上重新覆盖一张假冒的二维码,使得顾客扫码支付后钱款转到不法分子账户。不法分子为让作案痕迹不易被察觉,特意镂空了假冒二维码的中间部位,粘贴之后肉眼难以识别,如不用手触摸很难发现被粘贴了另一张胶纸。
据了解,像杨女士这样把收款二维码贴在醒目位置的并不少见。建议商家将收款二维码放置在商户收银员视线范围内并定期检查,也可以采取防伪纸打印二维码,增添防护罩,贴上防伪标签等措施,避免不必要的资金损失。
病毒条形码
俗话说病毒条形码就是不法分子将木马病毒、钓鱼网站链接制成条码,诱导客户扫描,窃取支付敏感信息。因为条码不仅可存储支付要素,也可携带非法链接或程序代码。因此不能见码就扫哦,还是要多加小心啊!
案例:
汪女士在淘宝上开网店,专门卖羊毛衫。有人通过淘宝旺旺发来一条信息,对方说:“我在微信上看到朋友发了几件衣服好漂亮哦,不知道你的店里有没有?有的话我全部拍下来,我好几个朋友都看上了。款式图片在这个二维码里,麻烦你扫一下,看有没有你家的宝贝。”现在淘宝网上很多买卖都可以通过二维码,汪女士也没多想,就用手机扫了一下。但点开链接后,手机网页一直都很卡,没有显示出来。此时,已经发现不对劲的汪女士再通过电脑登录支付宝账户时,密码已经被修改了。随后,汪女士发现不仅是支付宝及其绑定银行卡中的5000多元被窃,余额宝和阿里信用贷款中的几万块也被转走了。汪女士迅速冻结了账号,并前往派出所报案。但谁知,在做笔录期间,对方又转走了12多万信用贷款。
民警通过淘宝技术人员获知,不法分子通过病毒软件,获取汪女士的手机号码、密码等信息,并通过技术手段截取了淘宝平台发到汪女士手机的信息。在汪女士账户被冻结后,不法分子通过拦截淘宝网发来的验证码信息来解冻,并快速转钱。调查发现,这些钱先被转到一家卖游戏点卡商店,随后变现。
条形码黑客
简单说这类风险是存在,但是技术难度比较高。由于信息的单向交互是存在很大风险,条码支付只能实现发起方或接收方的单向信息交互,不法分子可利用该弱点实施“中间人攻击”,绕过身份认证机制,造成用户资金损失。
案例:
某条码支付客户端软件(APP)存在条码支付收款人可被篡改的漏洞某条码支付客户端软件(APP)安全防护机制薄弱,不法分子可通过逆向分析准确定位和解析数据包组装代码片段。在收款扫码模式下,如图1所示,不法分子在APP中植入恶意代码,在报文组装前篡改商户ID等收款人信息,将合法商户ID篡改为不法分子的虚假商户ID,使本该流向合法商户的资金流向不法分子。
图1篡改条码收款人在付款扫码模式下,不法分子可以利用安全漏洞,植入恶意代码劫持条码展示程序,将展示的二维码篡改为不法分子伪造的二维码,使得资金流向不法分子账户,如图2所示。
图2篡改收款码在条码支付安全防护体系中,客户端软件(APP)自身安全性非常重要,一旦被逆向分析,攻击者可获取业务处理逻辑,拦截业务处理数据,利用APP安全漏洞植入恶意代码,对交易数据进行篡改和劫持,从而改变实施资金盗取。十二、某条码支付客户端与服务器通信协议可被中间人攻击某条码支付客户端软件(APP)未对服务器端证书进行严格验证,不法分子可在网络层面发起中间人攻击,截获其产生的付款码。同时,该银行服务器端对于条码生成请求未采取控制措施,导致可通过重放条码请求的方式批量获取付款码。不法分子在发起重放攻击后,可批量截获用户会话和生成付款码,进而盗取用户资金。 (来源引用:黑客与极客)
扫码设备被改装
扫码设备安全强度低的风险,条码支付对设备要求低,普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码,易被不法分子非法改装使用。