二維碼支付風(fēng)險(xiǎn)及應(yīng)對(duì)研究

李曉蕙 陳洲洋

對(duì)于隱藏在便捷之下的二維碼支付安全漏洞，防范其發(fā)生，減輕其危害，需要政府、平臺(tái)、企業(yè)、商戶、消費(fèi)者等共同協(xié)作，不斷提高二維碼支付的科技含量、安全防范意識(shí)和監(jiān)督管理水平。

隨著互聯(lián)網(wǎng)技術(shù)與O2O商業(yè)模式的快速發(fā)展，我國(guó)開始進(jìn)入數(shù)字經(jīng)濟(jì)時(shí)代。在商品交易過程中，隨身攜帶現(xiàn)金、用現(xiàn)金支付的時(shí)代已經(jīng)一去不復(fù)返。日常生活中，人們習(xí)慣拿出手機(jī)掃描商家二維碼，或者由商家利用掃碼槍、掃碼盒子掃描消費(fèi)者支付碼完成支付。不論是個(gè)人衣、食、住、行的付款繳費(fèi)，還是企業(yè)、商戶之間的交易，融合了“互聯(lián)網(wǎng)+支付”的二維碼支付形式，已經(jīng)成為支付方式的主流。當(dāng)下，微信月活躍用戶超過9億，支付寶活躍用戶超過4.5億，二維碼支付在生產(chǎn)、生活中日益普及。

與傳統(tǒng)的支付方式相比，二維碼支付更加快捷、便利，擺脫了紙幣的物質(zhì)材料限制，減少了交易過程中因?yàn)樨泿诺哪p、丟失造成的財(cái)產(chǎn)損失;縮短了遠(yuǎn)程交易的時(shí)間，降低了支付的時(shí)間成本，也減少了商戶收款時(shí)間與結(jié)算流程;滿足了人們足不出戶能轉(zhuǎn)賬、不帶錢包可消費(fèi)的愿望。但是，在二維碼支付風(fēng)生水起之時(shí)，也出現(xiàn)了由二維碼支付漏洞帶來(lái)的支付安全風(fēng)險(xiǎn)，成為經(jīng)濟(jì)社會(huì)發(fā)展中的新問題。

一、二維碼支付中的安全風(fēng)險(xiǎn)

二維碼支付帶來(lái)的安全風(fēng)險(xiǎn)表現(xiàn)為靜、動(dòng)態(tài)二維碼本身具有的不足給線下用戶的支付安全埋下的隱患、由支付行為引發(fā)的信息泄露、不法分子利用二維碼進(jìn)行金融詐騙等。現(xiàn)實(shí)當(dāng)中，二維碼支付的風(fēng)險(xiǎn)來(lái)源于二維碼支付當(dāng)中使用的軟件、硬件及網(wǎng)絡(luò)，但眾多風(fēng)險(xiǎn)的最終表現(xiàn)形式都?xì)w結(jié)為一點(diǎn)，即竊取二維碼用戶的錢財(cái)。

在眾多安全問題中，詐騙行為的存在最為普遍，造成損失大、難以追回。作為一種新的支付方式，二維碼運(yùn)行本身存在漏洞，各種居心不良的詐騙分子利用移動(dòng)支付漏洞，不斷衍生出各種形式多變的詐騙手段，令使用二維碼支付的商戶和消費(fèi)者眼花繚亂，詐騙案件的數(shù)量不斷增加。

根據(jù)2018年安徽工程大學(xué)進(jìn)行的關(guān)于二維碼支付風(fēng)險(xiǎn)的調(diào)查問卷結(jié)果顯示，在受訪者中，沒有遇到過掃碼支付詐騙手段的只有16.54%。受訪者遇到的詐騙手段最多的是掃碼領(lǐng)紅包和手機(jī)病毒，分別為39.23%和38.50%;其次是惡意軟件和騙取付款碼，分別為30.75%和31.01%;另有23.77%的受訪者遇到的詐騙手段是二維碼以假換真，24.03%的受訪者遇到的詐騙手段是釣魚網(wǎng)站（見圖）。

從調(diào)查結(jié)果可以看出，80%以上的二維碼支付使用者都曾經(jīng)遭遇過不同形式的支付風(fēng)險(xiǎn)，可見二維碼支付本身確實(shí)存在安全漏洞，給了詐騙分子可乘之機(jī)。

二、二維碼支付安全漏洞表現(xiàn)

二維碼支付安全漏洞是由于二維碼本身特征、商戶與消費(fèi)者的操作以及政府監(jiān)管方面存在不足造成的，可以具體歸納為以下三個(gè)方面。

（一）隱藏在二維碼下的惡意代碼與病毒

二維碼作為一種數(shù)字信息匯編圖形，使用若干個(gè)與二進(jìn)制相對(duì)應(yīng)的幾何形體來(lái)表示文字?jǐn)?shù)值信息，通過圖像輸入設(shè)備或光電掃描設(shè)備自動(dòng)識(shí)讀以實(shí)現(xiàn)信息自動(dòng)處理。文本、網(wǎng)址、圖片、音頻、視頻都可以通過生成器自由轉(zhuǎn)換為二維碼，過程僅需輸入需要跳轉(zhuǎn)的內(nèi)容即可，免費(fèi)制作，不限次數(shù)。不僅如此，二維碼生成器網(wǎng)站還提供免費(fèi)將所生成的二維碼升級(jí)為活碼的服務(wù)。所謂活碼，即可以隨時(shí)修改二維碼內(nèi)容而二維碼圖案不變的一種二維碼。

便捷的二維碼生成途徑可能導(dǎo)致惡意代碼、病毒、不良信息攜帶進(jìn)入二維碼當(dāng)中。即使在生成二維碼的協(xié)議當(dāng)中聲明，不得將生成二維碼運(yùn)用于偽造、誘導(dǎo)、欺詐、違規(guī)代理等不法用途當(dāng)中，但由于在生成前沒有嚴(yán)格的審核過程，而在違法行為產(chǎn)生后，經(jīng)網(wǎng)站發(fā)現(xiàn)會(huì)給予相應(yīng)處罰，使得違法使用二維碼的事件只增不減，如此“亡羊補(bǔ)牢”式的處理相對(duì)于雨后春筍般出現(xiàn)的不良行為，無(wú)法從源頭上減少風(fēng)險(xiǎn)。

由于互聯(lián)網(wǎng)具有極快的傳播速度和極廣的傳播范圍，當(dāng)消費(fèi)者掃描違規(guī)的二維碼時(shí)，在極短時(shí)間內(nèi)可能會(huì)造成較大范圍的不良影響，因此出現(xiàn)了紅包詐騙、掃碼詐騙等事件。不僅如此，在掃描二維碼后網(wǎng)站的跳轉(zhuǎn)，往往不會(huì)出現(xiàn)消費(fèi)者確認(rèn)的界面，也不保留跳轉(zhuǎn)網(wǎng)址，這導(dǎo)致了消費(fèi)者無(wú)法迅速中止不良網(wǎng)站跳轉(zhuǎn)和病毒轉(zhuǎn)移，也難以為損失追回保存證據(jù)，導(dǎo)致部分消費(fèi)者可能遭受由于該二維碼攜帶病毒造成手機(jī)客戶端被攻擊、賬戶信息被盜取等損失。

（二）二維碼支付可能會(huì)導(dǎo)致消費(fèi)者的信息泄露

二維碼支付導(dǎo)致消費(fèi)者信息泄露主要有兩個(gè)渠道，一是由于消費(fèi)者的操作不當(dāng)導(dǎo)致病毒盜取或釣魚網(wǎng)站盜取其信息;二是由于二維碼支付平臺(tái)對(duì)信息保管不利而導(dǎo)致用戶信息泄露。

當(dāng)消費(fèi)者誤掃二維碼進(jìn)行支付時(shí)，有可能進(jìn)入了偽裝成銀行及電子商務(wù)、竊取消費(fèi)者提交的銀行帳號(hào)、密碼等私密信息的釣魚網(wǎng)站，不法分子利用各種手段，仿冒真實(shí)網(wǎng)站的URL地址以及頁(yè)面內(nèi)容，或利用真實(shí)網(wǎng)站服務(wù)器程序上的漏洞在站點(diǎn)的某些網(wǎng)頁(yè)中插入危險(xiǎn)的HTML代碼，以此來(lái)騙取消費(fèi)者銀行或信用卡賬號(hào)、密碼等私人資料。釣魚網(wǎng)站的頁(yè)面與真實(shí)網(wǎng)站界面完全一致，要求訪問者提交賬號(hào)和密碼，在訪問者不知情的情況下，獲取消費(fèi)者信息。除此以外，還存在消費(fèi)者掃描二維碼后進(jìn)入類似公眾號(hào)平臺(tái)的一個(gè)又一個(gè)連環(huán)的引導(dǎo)性跳轉(zhuǎn)，需要消費(fèi)者允許登陸該平臺(tái)才會(huì)進(jìn)入支付或者下一步操作，這樣的操作在彈指間也許就會(huì)導(dǎo)致你的信息瞬間被他人獲取，用于違法獲利。

從支付平臺(tái)的角度來(lái)看，消費(fèi)者的信息泄露主要由于平臺(tái)方的操作與管理不當(dāng)。在消費(fèi)者選擇運(yùn)用某一支付平臺(tái)進(jìn)行二維碼支付時(shí)，消費(fèi)者用戶需要提供自己的身份證、銀行卡、手機(jī)號(hào)等關(guān)鍵信息，在支付后，支付平臺(tái)將保留包括消費(fèi)者個(gè)人的地理位置、綁定的銀行卡信息、身份證件信息、銀行預(yù)留手機(jī)號(hào)碼等重要的個(gè)人信息以備銀行查詢。當(dāng)支付平臺(tái)對(duì)于信息管理不夠嚴(yán)密，出現(xiàn)內(nèi)部人員泄露、出售信息或支付平臺(tái)的信息管理系統(tǒng)遭遇黑客攻擊、病毒入侵等情況時(shí)，用戶的信息安全將岌岌可危。

（三）靜態(tài)二維碼存在被替換的風(fēng)險(xiǎn)

靜態(tài)碼主要是用于小商戶日常收款之用，市場(chǎng)上消費(fèi)者付款時(shí)所掃的商戶收款碼基本都是靜態(tài)二維碼。靜態(tài)二維碼一次生成，重復(fù)使用，很容易被替換，不像掃碼槍掃描時(shí)的活性二維碼那樣可以隨機(jī)產(chǎn)生、一次性使用。這樣，不法分子利用涂改、覆蓋形式可以更改原商戶的收款二維碼。商戶的靜態(tài)二維碼一旦被替換，消費(fèi)者支付錢款就會(huì)進(jìn)入二維碼替換者的賬戶，給本應(yīng)收到消費(fèi)者錢款的商戶帶來(lái)?yè)p失。自二維碼支付使用以來(lái)，多次出現(xiàn)商戶收款二維碼被替換的問題，尤其共享單車、市場(chǎng)小商鋪等靜態(tài)二維碼使用者，是被替換的重點(diǎn)。雖然為了保障二維碼安全，央行為靜態(tài)二維碼設(shè)定了支付上限，規(guī)定自2018年4月1日起靜態(tài)二維碼單日交易金額不超過500元，確保商戶不會(huì)遭受大額損失，但規(guī)定本身降低了消費(fèi)者支付便捷性，也沒有增強(qiáng)靜態(tài)二維碼的安全性。

三、應(yīng)對(duì)二維碼支付安全漏洞的措施

對(duì)于隱藏在便捷之下的二維碼支付安全漏洞，防范其發(fā)生，減輕其危害，需要政府、平臺(tái)、企業(yè)、商戶、消費(fèi)者等共同協(xié)作，不斷提高二維碼支付的科技含量，增強(qiáng)人們的安全防范意識(shí)，提升相關(guān)機(jī)構(gòu)和平臺(tái)的監(jiān)督管理水平。堅(jiān)持以防為主、以治為輔的基本原則，在加大預(yù)防力度的基礎(chǔ)上，后續(xù)管理措施要不斷跟進(jìn)。

（一）增強(qiáng)二維碼使用者的安全防范意識(shí)

對(duì)于外在化的二維碼支付隱患，二維碼的使用者——商戶和消費(fèi)者均需加強(qiáng)安全防范意識(shí)。商戶應(yīng)當(dāng)在張貼自己的二維碼時(shí)，注意防護(hù)，防止他人更改自己的二維碼;定期檢查二維碼的完整性和正確性，并且對(duì)消費(fèi)者付款不播報(bào)的情況提高警惕，及時(shí)止損。消費(fèi)者在掃碼支付時(shí)也要增強(qiáng)安全意識(shí)，不隨意掃碼，不掃來(lái)歷不明的二維碼;在掃描公共場(chǎng)合的二維碼時(shí)，要注意核實(shí)二維碼是否來(lái)自所掃描的商家、商品;不輕信跳轉(zhuǎn)的頁(yè)面提示、不粗心大意地進(jìn)行支付、不隨意登陸并同意不明協(xié)議。二維碼用戶在主動(dòng)規(guī)避安全漏洞的情況下，能夠有效降低由于粗心大意造成的財(cái)務(wù)損失和信息泄露。

（二）對(duì)二維碼支付提供安全技術(shù)支持

要想提高二維碼支付的安全性，需要在客戶端加強(qiáng)先進(jìn)技術(shù)的研發(fā)和應(yīng)用，減少二維碼安全漏洞給消費(fèi)者帶來(lái)的損失。提高二維碼本身使用過程的驗(yàn)證、生成技術(shù)的安全風(fēng)險(xiǎn)防范能力，增加二維碼替換難度;為移動(dòng)設(shè)備用戶安裝防火墻、殺毒軟件，保證在觸發(fā)病毒時(shí)及時(shí)提示、終止入侵;支付客戶端用戶可以下載安全保證書、設(shè)置屏蔽風(fēng)險(xiǎn)網(wǎng)站，保障在瀏覽、支付時(shí)的安全，規(guī)避不法網(wǎng)站的安全風(fēng)險(xiǎn)。

（三）加強(qiáng)二維碼獲取資格管理

目前二維碼獲取資格準(zhǔn)入門檻較低，導(dǎo)致二維碼背后的商戶質(zhì)量良莠不齊，因而洗錢、套現(xiàn)以及消費(fèi)者掃描后利益受損的情況出現(xiàn)。目前支付寶的商戶收款二維碼申請(qǐng)極為簡(jiǎn)單，申請(qǐng)商戶收款二維碼的流程為：商戶點(diǎn)擊支付寶的“掃一掃”功能，掃描官方網(wǎng)站的申請(qǐng)二維碼，在手機(jī)客戶端選擇寄送或者自行打印的方式，點(diǎn)擊“同意協(xié)議并申請(qǐng)/打印”即可獲取收款二維碼。在協(xié)議中雖然注明了商戶需提交真實(shí)完整且有效的銀行借記卡信息，不得進(jìn)行違法操作，但是操作中對(duì)于商戶的規(guī)模與資質(zhì)，沒有任何實(shí)質(zhì)性的審核。這意味著無(wú)論什么樣的商家，在商戶擁有銀行卡賬戶的情況下即可擁有門店需要的收款二維碼，也意味著一個(gè)商家可以擁有無(wú)限多個(gè)收款二維碼。二維碼的易得性，決定了收款碼背后的商戶不可計(jì)數(shù)，普通消費(fèi)者無(wú)法辨別該二維碼的匯款方向，管理者也難以掌握各種支付情況。

由此，需要支付平臺(tái)在提供二維碼服務(wù)的時(shí)候，應(yīng)當(dāng)做到對(duì)申請(qǐng)者身份進(jìn)行基礎(chǔ)性核實(shí)，必須獲得二維碼使用者的真實(shí)身份信息。在此基礎(chǔ)上，依據(jù)所申請(qǐng)的業(yè)務(wù)和二維碼運(yùn)用方向，平臺(tái)可以要求申請(qǐng)人提交相關(guān)資料留存，并跟進(jìn)監(jiān)督。政府可以指定專門部門負(fù)責(zé)二維碼業(yè)務(wù)，設(shè)置年檢專柜等，提高二維碼的獲取準(zhǔn)入門檻，加強(qiáng)對(duì)支付二維碼背后商戶的質(zhì)量篩選。

（四）分級(jí)設(shè)置支付驗(yàn)證方式

保護(hù)二維碼支付安全的一個(gè)有效手段是在二維碼支付過程中加強(qiáng)驗(yàn)證環(huán)節(jié)的管理，可以增加不同驗(yàn)證方式、設(shè)置驗(yàn)證間隔時(shí)間、設(shè)置延時(shí)到賬機(jī)制。驗(yàn)證方式的增加可以結(jié)合不同額度進(jìn)行分級(jí)設(shè)置，隨著額度的層級(jí)增加，加大驗(yàn)證的私人性、安全性力度。在消費(fèi)者多筆大額度轉(zhuǎn)賬支付過程中，可以設(shè)置驗(yàn)證時(shí)間的間隔，降低套現(xiàn)風(fēng)險(xiǎn)。建立二維碼支付延時(shí)到賬機(jī)制，對(duì)于二維碼支付款項(xiàng)可以先劃入央行支付清算系統(tǒng)，24小時(shí)后到賬。在這24小時(shí)內(nèi)，客戶若發(fā)現(xiàn)有問題，可以申請(qǐng)撤銷，減少由于錯(cuò)誤支付造成的損失。另外要方便警方通過二維碼中銀行卡信息查找出犯罪分子的信息，為警方處理案件爭(zhēng)取一定的時(shí)間。

四、結(jié)語(yǔ)

在移動(dòng)支付快速發(fā)展的今天，二維碼支付前景依舊光明。盡管出現(xiàn)了“刷臉支付”等新興支付方式，但短時(shí)間內(nèi)在設(shè)備成本、設(shè)備普及度和應(yīng)用客戶端的覆蓋程度上還有其局限性，二維碼支付的主流地位仍然不可撼動(dòng)。當(dāng)然，二維碼支付安全漏洞問題，也影響到二維碼支付的進(jìn)一步發(fā)展。通過技術(shù)升級(jí)、安全宣傳、多方治理，有效增強(qiáng)二維碼支付的安全性，不斷優(yōu)化二維碼支付的場(chǎng)景體驗(yàn)，從而推動(dòng)我國(guó)移動(dòng)支付繼續(xù)引領(lǐng)世界。

（作者單位：大連海事大學(xué)公共管理與人文藝術(shù)學(xué)院）