形形色色的二维码诈骗

沈臻懿

不知从何时起，一种黑白相间、形似迷宫的二维码融入了人们的日常生活。无论是移动支付、社交媒体，还是网址登录、应用程序等，只需掏出手机扫一扫，即可轻松搞定。但二维码技术在为人们的生活带来极大便利的同时，也被不法分子利用并“包装”成了各类诈骗手段。为了有效防范二维码诈骗，便需要借助相关技术手段，对各类迅速蔓延的二维码诈骗活动进行防范。

当前，不少人都发现出门时可以不带钱包，但绝对不能不带手机。外出购物付款时直接扫描二维码支付已成为不少人士的消费首选。作为移动互联网的入门通道，二维码已涉足应用程序、移动支付、社交媒体、用户登录等诸多领域。只需要抬手扫一扫，就能轻松支付账款，且省去了掏钱与找零的麻烦。

不可否认，二维码的出现与普及为社会生活带来了极大的便利。但专业人员知道，二维码制码的技术门槛几乎为零，不少犯罪分子已然将诈骗的罪恶之手伸向二维码。当消费者不慎扫描被植入了木马程序、黑客病毒或者扣款程序的二维码后，往往不经意间就陷入了犯罪分子事先所挖好的“诈骗陷阱”！

二维码技术的前世今生

黑白相间，形似迷宫，是很多人对于二维码的第一印象。不知从何时起，人们的日常生活就突然和二维码紧紧联系在了一起。那么，我们在随手扫码的同时，是否考虑过这一外观奇特的图案究竟从何而来？其实，二维码图案并非一时兴起的随手涂鸦，而是通过二进制的编码，将汉字、字母、数字等字符，转化为一系列黑白小方框。其利用了特定的几何学理论，按照一定的规律在二维平面上分布有黑白相间的图形信息。

随着智能手机的普及，利用手机扫描二维码已成为连接线上与线下的重要路径。二维码符号“家族”中，存在着多种不同的码制技术。当前人们所广泛使用的二维码，属于QR碼技术，全称为Quick Response Code。与传统条形码相比，QR码技术不仅可以存储更多的信息，更可反映诸多的数据类型。QR码技术起源于20世纪70年代的日本，最初是日本汽车厂商为了轻松追踪汽车零部件并进行区别而开发出的一种条码。二维码具有“成本低廉”“数据储存量大”“复印传真不失真”“信息跟随载体移动”“纠错能力强”等诸多优点，其在全球范围内备受推宠，并被广泛应用于当前的社会生活中。

当前市面上常见的二维码主要可分为矩阵式二维条码以及行排式或堆叠式二维条码。矩阵式二维码，顾名思义即是以矩阵形式所组成的条码；行排式或堆叠式二维码则是短截、多行的一维条码经堆叠所形成的条码。在代码编制方面，二维码借助了“0”“1”比特流的电子计算机内部逻辑概念，并利用与二进制相对应的数个几何图形来代表特定的文字符号信息。每种码制的二维码都有自身特定的字符集。每个字符都占据一定的宽度，并具有相应的校验功能。

人们用肉眼直观时虽然只能看到貌似杂乱无章的黑白小方格，但经光电扫描设备或图形输入设备的扫描与录入后，二维码中蕴含的信息即能被计算机系统自动识别，并能够实现数据信息的自动处理。

二维码支付背后的技术剖析

当前，移动支付平台和网络电商所推出的二维码支付功能，使得二维码扫一扫成为很多人的支付习惯。不过，相对于二维码支付的火热程度，其背后的工作原理和技术支撑往往就不为人所熟知了。

无论买方或卖方，其在使用二维码作为支付媒介与通道时，首先都需要发起特定支付，即通过收银系统或者支付应用程序向支付平台服务器发送支付请求。平台服务器在收到发起支付申请后，便会生成相关支付参数，并以二维码图案的形式向发起方反馈。随后即是支付参数交换环节，简单来说，就是由支付发起方向对方出示二维码图案。对方需要对支付参数进行核实，即通过收银设备或者支付应用程序进行扫描，以便支付平台服务器能够对该支付参数信息进行确认。最后，交易双方认可支付并经由支付平台服务器完成支付后，二维码支付的一系列环节得以实现。

二维码诈骗新花样

二维码的高度普及，令其在人们的日常生活中已不可或缺。但与此同时，犯罪分子的黑手也伸向了二维码。犯罪人利用普通民众对于二维码的高度信赖以及粗心大意的心态，制作了与真二维码外形极为相近的“诈骗二维码”，在其中植入病毒、木马或恶意程序等，引诱消费者扫描“诈骗二维码”，并误导消费者在虚假界面环境下进行操作，从而骗取消费者的钱款。

来路不明的诈骗二维码

人们在逛街或购物时，遇到“促销送大礼”或“扫码送奖品”等活动时，难免会心动。当前，不法分子正是利用部分民众的这种心理，采用二维码扫码的方式实施诈骗活动。在商场购物时，有时会遇到所谓的“推销员”上前搭讪，称只需扫一扫二维码就能够获得免费赠送的礼品或者有机会赢得奖金或奖品等。其实，不法分子提供的这些二维码，系其利用专门的二维码生成器，将黑客病毒或木马程序链接于二维码上。人们一旦在不法分子的诱使下扫描了这些二维码，其手机就会被植入木马程序、黑客病毒，或者在毫无察觉的情况下登录不法分子预先设置的网站，自动下载病毒程序，从而导致其自身的个人信息、身份号、手机号码、银行卡号、网银密码等信息被窃取和泄露。

公交、地铁或者公共场合中，有时会看到一些人拿着印刷的二维码图案或者手机屏幕上显示的二维码，“热心”地请求乘客或路人扫描，以支持其创业或者关注某个。殊不知，在这些二维码中，同样有可能隐藏着一个个潜在的“诈骗陷阱”。稍有不慎，受害人就有可能财产受损。

伪造交通违章罚单上的二维码

交通违章罚单对于驾驶车辆者而言并不陌生，但驾驶人在收到罚单时仍需要擦亮自己的眼睛。不知从何时起，不法分子已将犯罪的黑手伸向了交通违章罚单。其通过在网上搜索下载的违章停车罚单图片，将部分文字内容进行修改后，在罚单底部新增了一个能够向不法分子付款的二维码图案。若驾驶人通过扫描二维码缴纳“罚款”，手机屏幕上就会显示出相应的转账界面。与传统诈骗活动相比，“交通违章罚单”二维码诈骗的欺骗性更强，更不易为受害人所发觉。

付款二维码与收款二维码的偷梁换柱

付款码与收款码是移动支付应用程序中两种功能截然不同的二维码。向他人进行付款后，就需要打开应用程序中的付款功能。付款码页面由一条条形码和一个二维码共同组成。销售商在输入售货价格后会用光电扫描设备进行扫码收款。收款码则是本人向他人收取钱款时使用。只需输入钱款金额，无需对方添加好友，即可通过扫描收款码方式向本人转账。不法分子利用付款码与收款码的特点，故意混淆两者之间的区别，使得原本应当收钱之人变成了向外付钱之人。在一些诈骗实例中，有不法分子就将诈骗的对象瞄准了不少微商。不法分子借口购买货品时，自身零钱余额不足，提出需要使用二维码支付，并要求微商发送付款二维码的截图，以便于买家直接扫描付款。随后，不法分子往往又会假借付款二维码错误或者二维码超时等理由，引诱受害人不断地发送付款二维码的截图。不法分子在收到截图后，利用特制的扫码工具对二维码截图进行盗刷。待受害人收到支付凭证，发现钱款不断向外支付，意识到自己受骗上当时，不法分子早已将受害人拉入黑名单，从此“音信全无”。付款二维码，就如同人们的银行卡+密码。正常使用时，由于手机屏幕上的二维码处于自身掌控之下，故其付款码往往较为安全。但如果将付款码截图发给他人，就好似直接将自己的银行卡和密码拱手送于不法分子，这对于不熟悉二维码的受害人，是个必须引起警觉的注意点。

黏附于共享单车上的诈骗二维码

此外，当前共享单车在大部分城市中也愈发普及，为人们的出行提供了极大便利。人们只需拿出手机，扫一扫共享单车上的二维码，就可以轻松开启单车上的锁具。但有些时候，人们在扫描共享单车上的二维码后，会发现有莫名其妙的转账提示出现。若不多加留意，即会造成钱款的损失。人们不禁会问，共享单车上的开锁二维码为什么会将钱款“卷走”呢？令共享单车“背锅”的，实则是粘贴在其车身上的虚假二维码。共享单车上的正规二维码，或是采用喷漆喷涂方式，或是直接使用铆钉固定在车身之上。不法分子利用二维码扫一扫的特点，将植入了扣费软件、木马程序、黑客病毒的诈骗二维码印刷在与真二维码大小相近的粘贴纸上，并完全覆盖于真二维码表面。用户一不留意，就可能扫描到诈骗二维码，导致信息泄露与财产受损。

二维码诈骗的技术防范

二维码作为拥有特定格式，能够在有限面积内储存和表达信息的一种图案，可在纵、横两个方位上同时对信息进行反馈。无论是付款信息、收款信息、网站网址、个人名片等，皆可借助二维码图案予以展示。不过，这一近年来兴起的技术，正在被不法分子所利用。当前广泛应用的二维码属于QR码技术，其对市场采用了免费开放的策略。这就使得任何人皆可通过网络途径来下载二维码生成器。换言之，由于二维码的制码技术没有任何的准入门槛，不法分子在短短的几分钟时间内，就可以将一款二维码生成器从网络上下载，并将黑客病毒、木马程序的网址嵌入其中，生成一个用手机等任意扫码工具皆可读取信息的二维码。针对二维码存在的安全漏洞与诈骗风险，势必需要我们从各种技术途径增强其防范风险的能力。

二维码支付中，最主流的即是URL支付（URL，Uniform Resource Locator，统一资源定位符）。其受到青睐的原因，在于消费者使用客户端扫码后，即可以访问商家用来宣传、销售商品的页面以及网络交易支付的页面等。不过，在这一方式的背后，最大的安全隐患与风险即是“网络钓鱼”诈骗的存在。针对这一形式的二维码诈骗，在技术防范时就需要采用专用支付工具（支付APP）进行支付操作，并保持支付APP处于最新版本。专用支付工具的内置扫码功能禁止自动打开浏览器访问钓鱼网站。其不使用通用浏览器，而是由内置的浏览器来访问URL。在访问之前，專用支付工具会经过服务器先对该URL是否处于安全地址黑名单或白名单中进行核实，并由专门的后台安全团队对黑名单、白名单进行维护。

当前二维码诈骗活动中，有不少发生在网络环境下。由于网上交易全程都处于虚拟的网络环境，交易双方不发生直接接触，且虚拟化的身份，使得二维码诈骗活动具有极强的隐蔽性。不法分子利用受害人不清楚付款码与收款码的区别，以及某些移动支付应用程序在一定金额范围内允许免密码支付的功能，继而实施诈骗。针对二维码的这类诈骗活动，就需要人们在使用移动支付时务必保持谨慎、警惕，清楚付款码与收款码的不同功能与区别。切勿盲目听从他人的“指导”与“提示”发送付款码截图。

笔者提醒消费者，就防范措施而言，首先应当关闭移动支付应用程序的免密码支付功能，并设置启用“手势密码”功能，以提升支付的安全性。此外，随着技术手段的提升，付款码的安全性能也随着移动支付应用程序的升级而不断增强。当用户对付款二维码进行截屏操作时，系统会提示“无法截屏”或者“截屏后付款码无效”的提示，从而堵住信息泄露与钱款盗刷的漏洞。

此外，在不少室内或公共场所中，都提供有免费的Wi-Fi。人们在这些场所中，往往也较为热衷于使用手机来连接免费Wi-Fi。但需要注意的是，免费Wi-Fi对于二维码支付而言，存在着操作环境安全的巨大风险。免费Wi-Fi在传输时未经加密，存在着极大的泄密风险。此外，提供免费Wi-Fi的商家的路由器还可能被采用植入恶意代码等方式进行劫持。消费者若在这种操作环境下使用二维码进行网络交易时，其自身的信息、网银密码、资金等就有可能在未经加密的免费Wi-Fi环境下被窃取。因此，对于二维码支付等敏感程度较高的操作时，并不建议在免费Wi-Fi环境下实施，若必须操作时，则可使用3G或4G的环境，以保障二维码支付操作的安全性。

编辑：黄灵 yeshzhwu@foxmail.com