小小二维码　乱扫风险大

　　专家认为，应加强监管，尽快转变制作、发布二维码的无序状态

　　孟强

　　邹扬

　　门诊问题：

　　怎样预防扫描二维码带来的风险？

　　门诊专家：

　　北京理工大学

　　副教授孟强

　　江苏省扬州市邗江区检察院检察官邹扬

　　专家观点：

　　◇低廉的违法成本使得二维码极易被不法分子所利用，严重威胁用户信息安全。

　　◇完善针对移动互联网安全的法律法规，对于二维码“人人皆可制作、印刷和发布”的现状予以限制，对二维码企业资质、认证、备案等予以明确规定，促进整个行业的健康发展。

　　曾经站在路边和地铁站台上发宣传页、优惠券的推销员，如今大多装备升级了。他们手拿一张“广告单”，动员来来往往的行人：“扫个码，关注一下呗！”

　　扫一扫宣传单上的二维码，关注商家公众号，定时接收商家推送的优惠信息，这种推广方式被业内人士称为“扫码地推”。为了让更多的人“扫一扫”，“扫码地推”一般还会赠送些小礼品。这看起来双赢的推销，其中却存在诸多安全风险。

　　浙江省嘉兴市的网店店主汪女士，使用手机扫描二维码时，手机网页一直没显示。觉得不对劲的汪女士登录支付宝和淘宝账户，发现账户中3万多元资金被转走。

　　江苏省扬州市的徐女士也因扫了个二维码，损失了2万多元。与其他受害者相比，她是幸运的。经扬州市邗江区检察院对这起新型信用卡诈骗案件提起公诉后，4名被告人均获有罪判决，这笔钱最终回到徐女士的手里。记者近日采访了北京理工大学副教授、中国民法学研究会秘书长孟强和承办此案的邗江区检察院公诉科副科长邹扬。

　　二维码是什么

　　记者：二维码是什么？在发布前要经过审批吗？

　　孟强：二维码因其信息量大、使用便利，成为物联网发展的关键技术，但近期用户手机扫描二维码后遭受损失事件在各地多发，应当引起监管部门对二维码管理漏洞的关注。二维码是用某种特定的几何图形按一定规律分布的黑白相间的图形，由于具有储存信息量大、获取信息便捷、生成简单易操作等特点，二维码已经被广泛应用于商品溯源、物流追踪、身份认证等诸多领域。随着移动智能手机的普及，在日常生活中，用手机“扫一扫”就能添加好友、下载优惠券、支付账单、浏览网页、下载手机应用等。从百度搜索“二维码生成器”，出现了46万余个搜索结果。可见二维码的生成非常简单便捷，任何机构和组织均可随意制作和发布二维码。

　　记者：任何机构和组织均可随意制作和发布二维码，会给公共安全带来风险吗？

　　孟强：正是低廉的违法成本使得二维码极易被不法分子所利用，让网络病毒、色情、反动等不良信息得以肆意发布与传播，严重威胁用户的信息安全。从用户角度而言，二维码从外观来看，无法直接识别其包含信息是否合法，不法分子通常将有毒或带插件的网址生成一个二维码，对外宣称优惠券、软件或者视频等诱导用户进行扫描，而扫码的开始即代表着风险的开始。二维码给用户带来的风险主要有以下两种：第一种是通过恶意植入木马病毒、强制下载、注册账户等方式获取用户手机内的个人信息，造成个人信息泄露。第二种是通过诱导安装软件、信息验证等方式恶意扣费甚至通过木马植入方式盗刷用户储蓄卡、信用卡账户。虽然我国目前尚未颁布个人信息保护法，但民法通则第5条规定，公民、法人的合法的民事权益受法律保护，任何组织和个人不得侵犯。侵权责任法第2条也规定，侵害民事权益，应当承担侵权责任。每一个公民的个人信息都是其自身的合法权益，应当受到保护，通过二维码恶意获取他人信息，行为人应当就造成的损害承担责任。同时，这样的行为还危及社会的经济管理秩序，有可能受到行政处罚。而且，恶意扣费以及盗刷账户的行为，侵害了用户的财产权益，可能构成盗窃罪、诈骗罪、信用卡诈骗罪等。

　　普通消费者如何防控扫码风险

　　记者：二维码技术给我们的生活提供了诸多方便，也带来了风险和安全隐患。在“扫一扫”之前，广大用户如何提高警惕，降低信息安全风险？

　　孟强：天下没有免费的午餐，广大用户首先应当提高自身的警惕意识，选择来自安全可靠渠道的二维码进行读取。对于来历不明的二维码，特别是路边广告、电梯内广告、广告宣传单、不明网站的二维码，不要盲目扫描，如果确有必要，则要提前检测。根据中国消费者协会的相关提示，目前部分手机安全软件与二维码扫描软件合作或独立推出了带安全检测功能的二维码扫描工具。消费者扫描二维码后，这些扫描软件会自动检测二维码中是否包含恶意网站、手机木马病毒或恶意软件的下载链接等安全威胁。一旦检测到威胁存在，扫描软件将提醒消费者谨慎下载和安装，从而避免消费者的手机感染恶意软件，保障用户安全。良好的使用习惯是降低信息安全威胁的重要手段。同时，如果用户扫描二维码后发现是非法链接，应当立即关闭链接卸载软件，阻断不法分子获取信息的途径，而一旦发现个人信息已经被泄露或银行卡遭盗刷，用户应当立即报警，并留存相关证据，以便警方进行调查。

　　邹扬：在扬州徐女士被骗一案中，徐女士在淘宝购物时用手机扫描了一个卖家发来的二维码后，银行卡就被人盗刷了2.4万余元。邗江区公安局侦查发现，一个叫“叶锦华”的人具有重大作案嫌疑，于是顺藤摸瓜抓获叶锦华等4名犯罪嫌疑人。从2013年8月起，叶锦华、叶家良的上线陈明春与戴智豪就通过网络租了个“二维码木马程序”，并将二人自己的手机号码预先编入该二维码木马程序中。之后，陈明春伪装成淘宝卖家“建设中国梦”卖电器，只要有买家“上钩”，他就通过淘宝旺旺将含有木马的二维码发送过去，并编造各种理由让买家相信扫描“二维码”之后能占到便宜。陈明春、戴智豪预设在木马病毒中的手机号码会自动截获被害人的手机短信（主要是截获快捷支付中的验证码），由此登录到被害人淘宝账户。通过登录淘宝账户获得被害人淘宝账户绑定的银行卡资料，并将被害人银行卡绑定到自己的易付宝账户上，再通过快捷支付方式冒用徐某的信用卡，在购物平台消费或套现。可见，网络犯罪打破了犯罪空间和目标群体的限制，作案成本低、危害范围广，且迷惑性、欺骗性更强。随着手机、互联网普及应用，各类人群都已成为犯罪团伙的侵害目标。而客观上该类案件侦破成本高、追赃很困难，目前未能形成综合有效的防范与打击机制。所以，消费者加强自我防范更为重要。

　　记者：从这个以手机号码为突破口的犯罪链条当中，我们能得到什么警示？

　　邹扬：犯罪嫌疑人截获手机号码后，淘宝账户的密码可以通过手机验证码找到。知道被害人开通快捷支付功能的银行卡号，再加上控制他的手机，就能利用收到的支付随机验证码完成付款。因此，建议消费者，一是淘宝账户捆绑的手机号码与快捷支付捆绑的手机号码最好不是常用的；二是上述两个号码最好不是一个号码。这样如果一个手机中有木马病毒，另一个手机还有一道防线。

　　监管部门如何堵塞二维码安全漏洞

　　记者：面对二维码带来的信息安全威胁，监管部门应如何堵塞安全漏洞？

　　孟强：作为监管部门，想要堵塞二维码的安全漏洞，当务之急是出台二维码的使用标准，完善针对移动互联网安全的法律法规，对于二维码“人人皆可制作、印刷和发布”的现状予以限制，对二维码企业资质、认证、备案等予以明确规定，只有这样才能促进整个行业的健康发展。也有专家提出，由监管机构或公司牵头成立“可信二维码平台”，结合数字签名技术，做到用户每扫描一个二维码即可得知此二维码是由哪个机构生成，并可保证中途未经篡改，同时也可追踪恶意二维码的来源。这也是一个切实可行的解决二维码风险的方案。同时，监管部门还应当指导二维码企业建立规范的行业自律机制。早在2002年，中国互联网协会公布了《中国互联网行业自律公约》，倡议互联网全行业从业者加入公约，并要求成员“自觉维护消费者的合法权益，保守用户信息秘密；不利用用户提供的信息从事任何与向用户作出的承诺无关的活动，不利用技术或其他优势侵犯消费者或用户的合法权益”。行业自律作为个人信息保护机制的重要手段对于个人信息保护有着重要的意义，在二维码产业中逐渐树立这样的自律机制，也有利于引导全行业健康的发展。

　　记者：犯罪行为人使用快捷支付方式作为冒用他人信用卡的“洗钱”平台，这一新方式应否引起监管者的关注？

　　邹扬：易付宝、支付宝等第三方支付平台推出的快捷支付业务，可以让没有网银的用户，用绑定信用卡或储蓄卡作为快捷支付的方式付款交易。绑定时只要知道持卡人的银行卡号、身份证号、手机号，就可以不用银行卡密码验证完成支付，虽然很方便，但也给骗子们留下了可乘之机。经向办案人员了解，从近年来的办案情况分析，银行资金在体系内的流向监控不存在问题，但如果犯罪分子通过第三方支付平台转移巨额资金，或直接购买网络游戏点卡后折价卖出，就可成功“洗钱”，有的甚至追查不到资金去向。该类犯罪严重危害社会经济安全稳定，需引起监管者的关注。