李曉蕙 陳洲洋

對于隱藏在便捷之下的二維碼支付安全漏洞，防范其發(fā)生，減輕其危害，需要政府、平臺、企業(yè)、商戶、消費者等共同協(xié)作，不斷提高二維碼支付的科技含量、安全防范意識和監(jiān)督管理水平。

隨著互聯(lián)網(wǎng)技術與O2O商業(yè)模式的快速發(fā)展，我國開始進入數(shù)字經(jīng)濟時代。在商品交易過程中，隨身攜帶現(xiàn)金、用現(xiàn)金支付的時代已經(jīng)一去不復返。日常生活中，人們習慣拿出手機掃描商家二維碼，或者由商家利用掃碼槍、掃碼盒子掃描消費者支付碼完成支付。不論是個人衣、食、住、行的付款繳費，還是企業(yè)、商戶之間的交易，融合了“互聯(lián)網(wǎng)+支付”的二維碼支付形式，已經(jīng)成為支付方式的主流。當下，微信月活躍用戶超過9億，支付寶活躍用戶超過4.5億，二維碼支付在生產(chǎn)、生活中日益普及。

與傳統(tǒng)的支付方式相比，二維碼支付更加快捷、便利，擺脫了紙幣的物質(zhì)材料限制，減少了交易過程中因為貨幣的磨損、丟失造成的財產(chǎn)損失;縮短了遠程交易的時間，降低了支付的時間成本，也減少了商戶收款時間與結算流程;滿足了人們足不出戶能轉賬、不帶錢包可消費的愿望。但是，在二維碼支付風生水起之時，也出現(xiàn)了由二維碼支付漏洞帶來的支付安全風險，成為經(jīng)濟社會發(fā)展中的新問題。

一、二維碼支付中的安全風險

二維碼支付帶來的安全風險表現(xiàn)為靜、動態(tài)二維碼本身具有的不足給線下用戶的支付安全埋下的隱患、由支付行為引發(fā)的信息泄露、不法分子利用二維碼進行金融詐騙等?，F(xiàn)實當中，二維碼支付的風險來源于二維碼支付當中使用的軟件、硬件及網(wǎng)絡，但眾多風險的最終表現(xiàn)形式都歸結為一點，即竊取二維碼用戶的錢財。

在眾多安全問題中，詐騙行為的存在最為普遍，造成損失大、難以追回。作為一種新的支付方式，二維碼運行本身存在漏洞，各種居心不良的詐騙分子利用移動支付漏洞，不斷衍生出各種形式多變的詐騙手段，令使用二維碼支付的商戶和消費者眼花繚亂，詐騙案件的數(shù)量不斷增加。

根據(jù)2018年安徽工程大學進行的關于二維碼支付風險的調(diào)查問卷結果顯示，在受訪者中，沒有遇到過掃碼支付詐騙手段的只有16.54%。受訪者遇到的詐騙手段最多的是掃碼領紅包和手機病毒，分別為39.23%和38.50%;其次是惡意軟件和騙取付款碼，分別為30.75%和31.01%;另有23.77%的受訪者遇到的詐騙手段是二維碼以假換真，24.03%的受訪者遇到的詐騙手段是釣魚網(wǎng)站（見圖）。

從調(diào)查結果可以看出，80%以上的二維碼支付使用者都曾經(jīng)遭遇過不同形式的支付風險，可見二維碼支付本身確實存在安全漏洞，給了詐騙分子可乘之機。

二、二維碼支付安全漏洞表現(xiàn)

二維碼支付安全漏洞是由于二維碼本身特征、商戶與消費者的操作以及政府監(jiān)管方面存在不足造成的，可以具體歸納為以下三個方面。

（一）隱藏在二維碼下的惡意代碼與病毒

二維碼作為一種數(shù)字信息匯編圖形，使用若干個與二進制相對應的幾何形體來表示文字數(shù)值信息，通過圖像輸入設備或光電掃描設備自動識讀以實現(xiàn)信息自動處理。文本、網(wǎng)址、圖片、音頻、視頻都可以通過生成器自由轉換為二維碼，過程僅需輸入需要跳轉的內(nèi)容即可，免費制作，不限次數(shù)。不僅如此，二維碼生成器網(wǎng)站還提供免費將所生成的二維碼升級為活碼的服務。所謂活碼，即可以隨時修改二維碼內(nèi)容而二維碼圖案不變的一種二維碼。

便捷的二維碼生成途徑可能導致惡意代碼、病毒、不良信息攜帶進入二維碼當中。即使在生成二維碼的協(xié)議當中聲明，不得將生成二維碼運用于偽造、誘導、欺詐、違規(guī)代理等不法用途當中，但由于在生成前沒有嚴格的審核過程，而在違法行為產(chǎn)生后，經(jīng)網(wǎng)站發(fā)現(xiàn)會給予相應處罰，使得違法使用二維碼的事件只增不減，如此“亡羊補牢”式的處理相對于雨后春筍般出現(xiàn)的不良行為，無法從源頭上減少風險。

由于互聯(lián)網(wǎng)具有極快的傳播速度和極廣的傳播范圍，當消費者掃描違規(guī)的二維碼時，在極短時間內(nèi)可能會造成較大范圍的不良影響，因此出現(xiàn)了紅包詐騙、掃碼詐騙等事件。不僅如此，在掃描二維碼后網(wǎng)站的跳轉，往往不會出現(xiàn)消費者確認的界面，也不保留跳轉網(wǎng)址，這導致了消費者無法迅速中止不良網(wǎng)站跳轉和病毒轉移，也難以為損失追回保存證據(jù)，導致部分消費者可能遭受由于該二維碼攜帶病毒造成手機客戶端被攻擊、賬戶信息被盜取等損失。

（二）二維碼支付可能會導致消費者的信息泄露

二維碼支付導致消費者信息泄露主要有兩個渠道，一是由于消費者的操作不當導致病毒盜取或釣魚網(wǎng)站盜取其信息;二是由于二維碼支付平臺對信息保管不利而導致用戶信息泄露。

當消費者誤掃二維碼進行支付時，有可能進入了偽裝成銀行及電子商務、竊取消費者提交的銀行帳號、密碼等私密信息的釣魚網(wǎng)站，不法分子利用各種手段，仿冒真實網(wǎng)站的URL地址以及頁面內(nèi)容，或利用真實網(wǎng)站服務器程序上的漏洞在站點的某些網(wǎng)頁中插入危險的HTML代碼，以此來騙取消費者銀行或信用卡賬號、密碼等私人資料。釣魚網(wǎng)站的頁面與真實網(wǎng)站界面完全一致，要求訪問者提交賬號和密碼，在訪問者不知情的情況下，獲取消費者信息。除此以外，還存在消費者掃描二維碼后進入類似公眾號平臺的一個又一個連環(huán)的引導性跳轉，需要消費者允許登陸該平臺才會進入支付或者下一步操作，這樣的操作在彈指間也許就會導致你的信息瞬間被他人獲取，用于違法獲利。

從支付平臺的角度來看，消費者的信息泄露主要由于平臺方的操作與管理不當。在消費者選擇運用某一支付平臺進行二維碼支付時，消費者用戶需要提供自己的身份證、銀行卡、手機號等關鍵信息，在支付后，支付平臺將保留包括消費者個人的地理位置、綁定的銀行卡信息、身份證件信息、銀行預留手機號碼等重要的個人信息以備銀行查詢。當支付平臺對于信息管理不夠嚴密，出現(xiàn)內(nèi)部人員泄露、出售信息或支付平臺的信息管理系統(tǒng)遭遇黑客攻擊、病毒入侵等情況時，用戶的信息安全將岌岌可危。

（三）靜態(tài)二維碼存在被替換的風險

靜態(tài)碼主要是用于小商戶日常收款之用，市場上消費者付款時所掃的商戶收款碼基本都是靜態(tài)二維碼。靜態(tài)二維碼一次生成，重復使用，很容易被替換，不像掃碼槍掃描時的活性二維碼那樣可以隨機產(chǎn)生、一次性使用。這樣，不法分子利用涂改、覆蓋形式可以更改原商戶的收款二維碼。商戶的靜態(tài)二維碼一旦被替換，消費者支付錢款就會進入二維碼替換者的賬戶，給本應收到消費者錢款的商戶帶來損失。自二維碼支付使用以來，多次出現(xiàn)商戶收款二維碼被替換的問題，尤其共享單車、市場小商鋪等靜態(tài)二維碼使用者，是被替換的重點。雖然為了保障二維碼安全，央行為靜態(tài)二維碼設定了支付上限，規(guī)定自2018年4月1日起靜態(tài)二維碼單日交易金額不超過500元，確保商戶不會遭受大額損失，但規(guī)定本身降低了消費者支付便捷性，也沒有增強靜態(tài)二維碼的安全性。

三、應對二維碼支付安全漏洞的措施

對于隱藏在便捷之下的二維碼支付安全漏洞，防范其發(fā)生，減輕其危害，需要政府、平臺、企業(yè)、商戶、消費者等共同協(xié)作，不斷提高二維碼支付的科技含量，增強人們的安全防范意識，提升相關機構和平臺的監(jiān)督管理水平。堅持以防為主、以治為輔的基本原則，在加大預防力度的基礎上，后續(xù)管理措施要不斷跟進。

（一）增強二維碼使用者的安全防范意識

對于外在化的二維碼支付隱患，二維碼的使用者——商戶和消費者均需加強安全防范意識。商戶應當在張貼自己的二維碼時，注意防護，防止他人更改自己的二維碼;定期檢查二維碼的完整性和正確性，并且對消費者付款不播報的情況提高警惕，及時止損。消費者在掃碼支付時也要增強安全意識，不隨意掃碼，不掃來歷不明的二維碼;在掃描公共場合的二維碼時，要注意核實二維碼是否來自所掃描的商家、商品;不輕信跳轉的頁面提示、不粗心大意地進行支付、不隨意登陸并同意不明協(xié)議。二維碼用戶在主動規(guī)避安全漏洞的情況下，能夠有效降低由于粗心大意造成的財務損失和信息泄露。

（二）對二維碼支付提供安全技術支持

要想提高二維碼支付的安全性，需要在客戶端加強先進技術的研發(fā)和應用，減少二維碼安全漏洞給消費者帶來的損失。提高二維碼本身使用過程的驗證、生成技術的安全風險防范能力，增加二維碼替換難度;為移動設備用戶安裝防火墻、殺毒軟件，保證在觸發(fā)病毒時及時提示、終止入侵;支付客戶端用戶可以下載安全保證書、設置屏蔽風險網(wǎng)站，保障在瀏覽、支付時的安全，規(guī)避不法網(wǎng)站的安全風險。

（三）加強二維碼獲取資格管理

目前二維碼獲取資格準入門檻較低，導致二維碼背后的商戶質(zhì)量良莠不齊，因而洗錢、套現(xiàn)以及消費者掃描后利益受損的情況出現(xiàn)。目前支付寶的商戶收款二維碼申請極為簡單，申請商戶收款二維碼的流程為：商戶點擊支付寶的“掃一掃”功能，掃描官方網(wǎng)站的申請二維碼，在手機客戶端選擇寄送或者自行打印的方式，點擊“同意協(xié)議并申請/打印”即可獲取收款二維碼。在協(xié)議中雖然注明了商戶需提交真實完整且有效的銀行借記卡信息，不得進行違法操作，但是操作中對于商戶的規(guī)模與資質(zhì)，沒有任何實質(zhì)性的審核。這意味著無論什么樣的商家，在商戶擁有銀行卡賬戶的情況下即可擁有門店需要的收款二維碼，也意味著一個商家可以擁有無限多個收款二維碼。二維碼的易得性，決定了收款碼背后的商戶不可計數(shù)，普通消費者無法辨別該二維碼的匯款方向，管理者也難以掌握各種支付情況。

由此，需要支付平臺在提供二維碼服務的時候，應當做到對申請者身份進行基礎性核實，必須獲得二維碼使用者的真實身份信息。在此基礎上，依據(jù)所申請的業(yè)務和二維碼運用方向，平臺可以要求申請人提交相關資料留存，并跟進監(jiān)督。政府可以指定專門部門負責二維碼業(yè)務，設置年檢專柜等，提高二維碼的獲取準入門檻，加強對支付二維碼背后商戶的質(zhì)量篩選。

（四）分級設置支付驗證方式

保護二維碼支付安全的一個有效手段是在二維碼支付過程中加強驗證環(huán)節(jié)的管理，可以增加不同驗證方式、設置驗證間隔時間、設置延時到賬機制。驗證方式的增加可以結合不同額度進行分級設置，隨著額度的層級增加，加大驗證的私人性、安全性力度。在消費者多筆大額度轉賬支付過程中，可以設置驗證時間的間隔，降低套現(xiàn)風險。建立二維碼支付延時到賬機制，對于二維碼支付款項可以先劃入央行支付清算系統(tǒng)，24小時后到賬。在這24小時內(nèi)，客戶若發(fā)現(xiàn)有問題，可以申請撤銷，減少由于錯誤支付造成的損失。另外要方便警方通過二維碼中銀行卡信息查找出犯罪分子的信息，為警方處理案件爭取一定的時間。

四、結語

在移動支付快速發(fā)展的今天，二維碼支付前景依舊光明。盡管出現(xiàn)了“刷臉支付”等新興支付方式，但短時間內(nèi)在設備成本、設備普及度和應用客戶端的覆蓋程度上還有其局限性，二維碼支付的主流地位仍然不可撼動。當然，二維碼支付安全漏洞問題，也影響到二維碼支付的進一步發(fā)展。通過技術升級、安全宣傳、多方治理，有效增強二維碼支付的安全性，不斷優(yōu)化二維碼支付的場景體驗，從而推動我國移動支付繼續(xù)引領世界。

（作者單位：大連海事大學公共管理與人文藝術學院）