條碼易復制漏洞引發(fā)詐騙

2017年3月，央視報道稱在浙江寧波，有共享單車出現(xiàn)了“惡意”二維碼，用戶掃碼后共享單車不能解鎖，而是轉(zhuǎn)到了私人的微信支付頁面，有用戶上當受騙。此外2017年7月，重慶當?shù)孛襟w報道，有商戶反映二維碼被替換，隨后警方抓獲兩名犯罪嫌疑人，經(jīng)了解他們通過篡改20多家商戶的二維碼方式獲利1萬多元。

中國支付清算協(xié)會執(zhí)行副會長兼秘書長蔡洪波表示，與傳統(tǒng)的銀行卡不同，條碼支付的條碼具有可視化特點，容易被復制、截屏、傳輸，可以被打印，安全防護能力不強。很多不法分子就是針對條碼防護能力弱、使用環(huán)境可控性差這些特點實施詐騙。如靜態(tài)條碼被調(diào)換、偽造條碼進行欺詐、條碼中嵌入木馬病毒程序等導致客戶個人信息泄露和賬戶資金被盜用等。

根據(jù)央行新規(guī)，條碼支付交易驗證可以組合選用三類要素：一類是僅用戶本人知悉的要素，如靜態(tài)密碼;一類是僅用戶本人持有并特有的，不可復制或者不可重復利用的要素，如經(jīng)過安全認證的數(shù)字證書、電子簽名，以及通過安全渠道生成和傳輸?shù)囊淮涡园踩炞C碼等;另一類則是用戶本人的生物特性要素(如指紋)。

由此，風險防范能力被分成了四類：達到A級，即采用數(shù)字證書或電子簽名在內(nèi)的兩類以上有效要素進行驗證的，可與客戶自主約定單日累計限額。也就是說，客戶可以自己決定每日消費限額。

最低一級則是D級，即前述所說小商戶貼在柜臺上的靜態(tài)條碼，同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過500元。

中間的B級，采用不包括數(shù)字證書、電子簽名在內(nèi)的兩類(含)以上有效要素對交易進行驗證的，單個客戶單日交易限額為5000元。C級則是采用不足兩類要素對交易進行驗證的，交易限額為1000元。

三問掃碼限額

1、500元限額夠用嗎?

“條碼支付與傳統(tǒng)銀行卡等支付工具相比在交易安全性上存在一定不足，人民銀行堅持條碼支付小額、便民的定位，對條碼支付風險防范能力進行分級?！毖胄邢嚓P(guān)負責人在此前的答記者問中表示?！靶☆~、便民”是其中的關(guān)鍵詞。

一家媒體曾在新規(guī)發(fā)布日當天的調(diào)查稱，有超過60%的網(wǎng)友認為500元的限額不能滿足需求。不過，據(jù)新京報記者小范圍調(diào)查，如果不用于諸如家用電器之類的大額支出，500元可以基本滿足周圍同事的日常支出。

如在北京工作的張先生對記者表示，按照早飯10塊、午飯和晚飯在30元左右算，即使都用掃碼支付，500元的靜態(tài)條碼限額滿足日常的生活也綽綽有余。

“咱們說的靜態(tài)碼是貼在收銀臺上的一個二維碼，這個不夠用，其實有其他的一個措施，商戶主動去掃顧客，也可以選擇銀行卡支付，或者現(xiàn)金。”蘇寧金融研究院互聯(lián)網(wǎng)金融研究中心主任薛洪言對新京報記者解釋。

根據(jù)中國支付清算協(xié)會發(fā)布的《2017年移動用戶調(diào)研報告》，2017年，有43.0%的用戶單筆支付金額在100元以下，29.5%的用戶單筆支付金額在100-500元;14.8%的用戶單筆支付金額在500-1000元;12.6%的用戶單筆支付金額在1000元以上。也就是說72.5%的用戶不受限。

薛洪言認為，從場景上來看，500元錢的限額制定應當經(jīng)過了一個精確的測算，即根據(jù)歷史的交易情況，能夠滿足絕大部分用戶線下掃碼支付的需求，所以對大多數(shù)用戶來說不會有太大的影響。