在上海市举办的一场网络安全嘉年华活动上,工作人员现场模拟了可怕的一幕:市民拿着二维码准备进行电子支付,攻击者从3米以外通过镜头缩放,成功识别出这个二维码。随即,技术人员利用专用的工具,25秒就破解了一个包括数字、字母、特殊符号的密码。
当然,这并不意味着你在超市买东西进行支付的时候,就一定会有一个镜头对准你。作为普通人,被这样“攻击”的概率并不大。但是,网络安全嘉年华所展示的这种风险,也并非虚构,它是真实存在的。
中国在二维码的应用上保持世界领先位置,这是让人开心的事。二维码的发明者是一位日本人,而在日本这项技术的应用就没这么广泛。在日本,绝大部分人在日常生活中仍然使用现金支付。从各种硬币到万元大钞,仍然是人们每天都接触的“钱”。
网络安全嘉年华上的模拟,只是给我们展示了移动支付所面临的风险。它提醒我们,这种新鲜事物或者技术进步,同时也伴随着新的风险。人们必须对此有更清醒的认识,比如在支付的时候留心周围环境,保护好自己的密码,尤其需要注意的是,保护好自己的手机与个人信息。这种提示是非常必要的,它让我们注意到“快”背后,还存在一种“慢”,一种“保守”的力量。如果没有保护这种“慢”,“快”就会变成恐怖。
很多时候,我们都对这种“慢”注意不到,甚至嫌弃那些“跟不上时代”的人。前段时间有老人因为不能出示健康码而无法乘坐公交车,最后被全车的年轻人嫌弃。这就是“慢”遭遇的一种困境。我们要注意“安全”,也要看到那些跟在我们身后的人。
这就是底线意识。对移动支付来说,安全就是底线,如果不能保证支付的安全,再便捷都可能等于零。同样,对整个社会来说,照顾到那些老人、小孩,就是底线。在过去几十年,中国一直在快速进步,如今或许到了需要重视“保守”的力量的时候了。看一下有什么安全漏洞,等一下身后的人,这样才能走得更稳。
一商户被盗刷两千余元 报警后发现竟是付款码惹的“祸”
9月7日,根据群众举报,海口铁路公安处琼海车站派出所成功将一名涉嫌盗窃案、被四川梓潼警方网上追逃的嫌疑人贺某(海南海口人)抓获。
2020年7月7日,梓潼警方接到受害人彭某报警称,手机上莫名收到两笔支付宝花呗付款的交易记录。梓潼警方通过多方走访侦查,发现在受害人收到交易信息的前十分钟,有两名男子到店里选购鞋子,在准备付款时,其中一名男子(贺某)称,受害人彭某放在收银台的二维码扫不上,要求彭某将自己的手机二维码调出来。并以扫不清楚为由,要求彭某把手机交由其操作,顺势划出付款码的界面,然后拍照留存。
一顿操作过后,该男子以苹果手机扫不上华为手机的二维码、需要出去取现金为由,离开了现场。随后,贺某与其同伙(许某)迅速到指定地点利用彭某付款码进行提现。贺某与同伙通过一系列操作过后,盗刷了受害人彭某两千余元。
梓潼警方在采取多种侦查措施后,成功在当地一出租屋内将许某等人抓获。贺某在得知同伙被抓后,便连夜乘车过海跑回海南。不料天网恢恢,终究落入法网。
“终究还是逃不过。”贺某在被民警带回派出所后感叹道。目前贺某已移交四川梓潼警方处理。
别让技术漏洞敞开着
“3米外盗刷支付码”有两种办法。一种是,攻击者从3米以外距离通过镜头缩放,识别出二维码。在很远的距离,二维码就能被人盗刷。就好像一个可以刷卡的POS机一样,只要对准他人付款码,就可以完成支付。类似于超市收银员,只要扫码枪对着你的手机扫一下,你不用进行任何操作,无需输入密码,钱就从你手机进入了超市账户;一种是,利用“专用工具”,25秒就破解了一个拥有数字、字母、特殊符号的密码。有市民当场自行测试了平时设置的密码,8位数字加字母组合的密码几乎一瞬间就被破解。
“3米外盗刷支付码”,从技术层面来说,是不存在多大难度的。因此,这种善意的提醒是比较及时的。这就提醒我们,要更加小心保护支付安全,在商家扫描支付码之前,尽量用手或其它物品遮挡一下支付码,以免被人从远处盗刷。而且,需要防范“技术犯罪”,比如盗刷他人二维码的“专业工具”。
随着手机支付的普及,如今我们去商场、超市、门店、路边小摊都能够扫码支付,很多情况下店家会要求你出示二维码支付,无需手动输入金额,更加简单快捷。然而,这种支付方式也存在一定安全隐患。“支付码3米外能被盗刷”,本质上来说,就是一种敞开的技术漏洞。即便这种安全隐患的风险再小,都值得有关部门去研究,采取措施填补技术漏洞,不能让风险和漏洞总是敞开着。化解“支付码3米外能被盗刷”的风险,靠“善意提醒”更靠“利剑出鞘”。
一个方面,需要规范支付宝和微信的“免密支付”游戏规则。“免密支付”是一种便捷服务的自我选择,它不需要密码也能付款,比如日常点外卖,付款时自动扣除,省去了输入任何支付密码的步骤,可风险也随之而来,对于看重个人支付安全的用户,不妨关掉免密支付功能。或者,在“免密支付”上打上“技术补丁”,尽可能降低“免密支付”的风险。
一个方面,需要严厉管控“专业工具”的研发者,生产者。现实生活中,不少黑客研发了一些危害社会的“灰色软件”“灰色仪器”之类的东西,这些所谓的“科技产品”实际上是一把双刃剑,有的既有好处也有坏处,有的则“只有坏处没有好处”,甚至就是专门为高科技犯罪提供“服务”的。对于此类软件和仪器,要来一次技术检验,将“科技犯罪”一网打尽,不能让其危害社会。
“支付码3米外能被盗刷”,不能只是善意提醒,技术的漏洞,终极需要用更先进的技术填平。技术防范必须是“魔高一尺道高一丈”。
(综合自光明日报、东方网、南海网)