

防不胜防，如何避免扫到“静态条码”这些雷？

北京意锐新创

2017-12-31

导读：如果我们遇到这些二维码，那可要小心了！

我们每天不是正在扫码，就是在去扫码的路上。扫一扫二维码完成付款，早已成了我们生活的一部分。但是，二维码是否安全的疑虑也常常困扰着我们：用户资金被盗刷、手机扫码中毒、个人信息被盗取……

实际上，这些安全问题多半因为 “静态条码”而起。如果我们在日常生活中遇到这种二维码那就要小心了。

这种在水果店、餐馆、药店、路边摊上使用的，让客户“扫一扫”付款的二维码、立牌都属于静态二维码。这种条码无法实现实时更新，故而得名“静态”。静态条码易被篡改和携带木马或病毒，所以近期也被监管机构纳入严格的管理中。根据中国人民银行发布《关于印发<条码支付业务规范（试行）>的通知》，使用静态条码付款，无论使用何种交易验证方式，同一客户单个银行账户或所有支付账户、快捷支付单日累计交易金额不超过500元。

下面，就让我们看看这随处可见的“静态条码”里，到底藏了哪些雷？我们又该如何避开这些雷？

那些“静态条码”的雷

静态条码被“调包”

2017年3月，江某误扫了共享单车上被掉包的二维码，将99元押金转入不法分子账户，无法追回。目前，部分特约商户（小微商户）用静态条码作为收款码，但静态条码容易被调换，如果扫描不法分子调换的条码支付，资金将付给不法分子，导致商户无法收到钱款。

利用收款码伪造交通罚单等

2017年3月，南京的邹先生在车上发现一张违停罚单，并附有二维码“扫码可缴费”。扫描二维码后显示“违章处理，转账200元，点击确认”。核实发现是假罚单。

不法分子利用消费者图省事的心理和有时存在粗心大意的情况，基于日常生活消费、公共事业缴费（水、电、燃气费等）、交通违章发单缴费等应用场景，编造虚假的缴费信息通知或提示，同时放置或印制伪造的条码，误导客户扫描伪码，实施欺诈。

嵌入木马，扫码被盗刷或窃取信息

不法分子将木马病毒程序嵌入到其生成的条码当中，一旦误扫了此类条码，手机就可能中毒或被他人控制，导致账户资金被盗刷、个人敏感信息泄露等风险问题发生。近期“清理僵尸粉”骗局也属于这种类型。

诱骗消费者发送付款码后盗刷

不法分子以金钱或物质奖励、优惠等诱导消费者向其发送付款码，之后迅速实施盗刷。2016年8月，参加了“集赞送礼品”活动的云南杨小姐联系商家换取奖品，商家不断要求杨小姐发送付款码，最终成功盗取了其账户资金。

虚假网店发收款条码实施欺诈

在网购过程中，存在不法商户在消费者支付环节骗取其使用购物平台监控外的扫码方式进行付款。南京的沈小姐在网购选好衣物后，通过店家发来的二维码进行手机付款，但之后被对方拉黑，损失约2000元。

利用小礼品等奖励诱导扫码注册

不法分子采用赠送小礼品的方式，诱导消费者扫描二维码并在注册页面填写姓名、手机号、身份证号等相关信息，随后将个人身份信息转卖获利。

静态二维码付款，避免扫雷攻略

中国人民大学重阳金融研究院高级研究员董希淼表示，从技术层面看，二维码通过几何图形来记录数据和储存信息，这样的功能也可能携带非法链接或代码。所以，静态条码很容易被不法分子所利用。

也就是说，由于二维码是以图片形式记录文字数据，若恶意网址或恶意代码被编码为二维码，它呈现为图片格式，会非常容易躲过各种信息安全扫描侦测，我们也无法以肉眼进行识别。

扫码可要当心哦

小编在此建议大家在使用二维码时，首先要使用官方渠道APP扫码软件；其次要仔细辨别真伪，核对信息，确认二维码安全有效；再次对陌生的二维码不要随意扫码，对常见的二维码也应保持适度警惕，保管好自己的付款二维码；最后手机上最好安装一些正规安全软件，增加手机安全系数，防止不法分子将病毒镶嵌在二维码里，盗取公民个人重要信息。

此次，央行发布的条码支付规范，也出于安全考虑，对静态条码的使用“约法三章”。