我已授权

注册

二维码尚缺系统化监管机制

2017-04-05 11:03:29 法治周末 

  目前二维码领域诈骗事件频发,专家认为这主要是由于我国二维码信息安全监管机制尚处于初期阶段,二维码生成和识读工具缺乏统一管理,网络上可以随意生成二维码,没有对“二维码”生成和识读形成系统化监管机制

  法治周末记者 马树娟

  扫描共享单车上的二维码,没有进入开锁使用模式,却直接跳转至付款页面;

  车辆违章后,发现车上“适时”地出现了一张带有二维码的罚单;

  未在规定的时间内缴纳水费,门口出现了一张带有二维码的催缴通知单……

  随着移动互联网的发展,使用便利、用途广泛的二维码技术成为了连接线上线下的新入口,就是在这样的背景下,二维码也成为了不法分子植入病毒木马,进行恶意扣费、恶意推广、窃取用户隐私的新渠道。

  二维码诈骗事件频发

  二维码是用某种特定的几何图形,按一定规律在二维方向上记录数据的信息技术,个人名片、网址、付款和收款信息等都可以通过二维码图案展现,手机用户可以通过摄像头和解码软件对二维码进行识读。

  随着二维码深入渗透人们的生活,不少用户感叹自己每天“不是在扫码,就是在赶往扫码的路上”。近日,阿里巴巴集团董事局主席马云在一次演讲中提到,目前甚至有叫花子用二维码来讨钱。

  公开资料显示,目前常用的二维码有日本的快速响应码(QR码)、韩国的DM码、中国的汉信码等,其中,在我国普及度较高的是QR码。

  中关村(000931,股吧)工信二维码技术研究院副院长杜志辉对法治周末记者介绍,QR码之所以在国内普及度高,与其采用开源、免费策略有直接关系。

  “由于采取开源、免费策略,网络上可以随意生成二维码。因此,不法分子利用二维码隐蔽性地传播病毒,危害信息的成本也很低。”杜志辉说。

  法治周末记者注意到,目前,网络上二维码制作和扫描软件数量庞大,在网络上输入“二维码生成器”,瞬间可以出现上百万条检索结果,在这些二维码生成器中,随意输入文字、图片、网址,短暂数秒就可以轻松免费地制作出一个二维码。

  二维码制作的低成本,也成为不法分子骗取钱财的新方式。福建警方近日就破获了一起利用二维码诈骗共享单车用户费用的案件。

  据警方介绍,从今年2月起,两位犯罪嫌疑人伪造了包括摩拜、哈罗等品牌共享单车的数百枚二维码,设置了299元、199元、99元三档转账金额,先后骗得赃款3200余元,共有超过70名受害者上当受骗。

  在伪造共享单车二维码外,伪造水电费二维码通知单,粘贴假二维码交通违章罚单等骗局也屡屡出现。

  目前尚无系统化监管机制

  中关村网络安全与信息化产业联盟EMCG组长王克对法治周末记者表示,二维码就是一组字符串(网址)的图形化表示,一组字符串本身不存在安全问题,在字符串网址上无法标识真假。

  针对二维码领域诈骗事件频发的现象,中国二维码注册认证中心执行主任张超在接受法治周末记者采访时分析,这主要是由于我国二维码信息安全监管机制尚处于初期阶段,二维码生成和识读工具缺乏统一管理,网络上可以随意生成二维码,没有对“二维码”生成和识读形成系统化监管机制。

  “此外,大部分应用单位的系统和二维码承载的信息,还未经第三方机构统一审核、监控、追溯和认证,成为了木马病毒、扣费链接及不良信息传播的新渠道,容易造成消费者扫码后话费被扣、银行卡被盗刷。”张超说。

  张超认为,助推二维码产业健康发展,推进标准规范和统一注册认证是关键,加快推进二维码规范应用机制建设和二维码标准化管理的普及,建立一套健全的产业发展体系机制,才能引导二维码产业生态建立,真正解决社会各方对于二维码应用的规范和安全需求。

  杜志辉也认为,目前亟需建立完善的二维码信息安全监管机制,把二维码生成和识读工具统一管理起来,让二维码统一经第三方机构审核、监控、追溯和认证,这样就管好了二维码“生成”和“解码”两个出入端口。

  行业尝试建立回溯机制

  “二维码产业链条长,涉及应用和管理环节多,由于我国现行部门职责划分致使目前二维码应用管理存在着‘多头管理、各自为政、标准不同、难以协同’的突出问题,现有的行政体系难以协调统一。”张超表示,针对这种现状,应发挥行业组织的力量,以市场为导向,建立市场倒逼机制,由独立的第三方来制定二维码的基础共性标准,搭建统一的公共服务平台,通过“机制+技术+标准”三位一体的方式,引导并推动二维码安全规范应用。

  记者在采访中了解到,从2013年开始,中国电子商会和中国质量认证中心联合发起成立第三方二维码公共服务机构——中国二维码注册认证中心,旨在推进“自主、安全、规范、可控”的二维码产业生态发展。

  张超介绍,2014年,中国二维码注册认证中心主导规划建设了中国二维码注册认证公共服务平台(包括二维码注册认证平台、开放平台、二维码应用市场三大子平台),为社会提供二维码应用公共服务,目前已有近4.5万家机构、企业在平台进行了注册,开展了示范应用。

  张超介绍,针对二维码的生产和流通,中国二维码注册认证中心建立了统一的二维码身份标识注册管理机制(类似于公民身份证体系),可以实现回溯。

  针对用户“扫码”安全,张超介绍,中国二维码注册认证中心也研发了“二维码安全防护系统客户端(码盾)”,用户安装后扫描二维码时,“码盾”可进行全程安全检测,为用户提供风险预警、拦截等服务。

  此外,张超表示,“码盾”还向社会开放接口,用户使用嵌入码盾SDK的软件扫描二维码时,将启动云端检测,如果发现该二维码存在安全隐患,则会提示用户谨慎打开。

  杜志辉表示,从行业角度讲,企业应主动在第三方二维码注册认证公共服务平台进行注册认证,从源头和发码解码机制上统一规范管理,保障用户“扫码”安全;从政府角度讲,应尽快研究出台二维码产业发展政策、法律法规及指导意见,完善保障措施,比如重要领域加强二维码监管、制定信息安全保护制度等。

  由于目前用户多使用一些含有二维码扫描功能的APP来扫码,对此,浙江工业大学计算机科学与技术学院教授陈铁明建议,对于此类APP,应当进行实名登记、备案审查,形成一整套完善的责任追溯机制,避免一些技术开发者在APP中非法篡改扫描结果,获取非法收益。

  不过,一位业内人士对记者表示,目前生成二维码方便快捷、成本低廉,每天生成的二维码数量庞大,如果要求每个应用主体对生成的二维码都进行注册认证,恐难以实现。

  西安交通大学信息安全中心副主任王玥对法治周末记者表示,从安全观上来看,二维码作为一种信息技术的新类型,对于其管理无论是建立注册解析的公共服务平台,还是建立行业协会的认证机制,都应当秉承技术中立的思想,不强制要求具体的技术实现形式,但必须能够达到保障信息安全的“保密性、完整性、可用性”的目的。

  可用大数据检测方式过滤恶意网址

  王克表示,二维码诈骗如普通电话诈骗一样,属社会发展的跟伴现象,不可避免,不要追求新技术能做得万无一失,向用户普及安全使用二维码的知识,是防止诈骗的有效方法。

  360反诈骗专家刘洋提醒用户,应通过正规应用商店下载使用APP;扫码前一定要仔细辨别二维码是否存在被更换、被涂改等痕迹,如果属于后者,务必提高警惕。

  此外,刘洋建议用户,在手机上可以安装一些安全软件,若不慎扫码进入钓鱼网站,或是下载了木马APP,安全软件可以直接拦截钓鱼网站和木马,保护手机安全。

  陈铁明建议,除了做好用户教育外,从技术角度讲,可以与监管部门的反欺诈中心打通,运用大数据等技术手段对二维码进行检测,对相关域名进行解析,过滤一些含有恶意网址的二维码。

  记者在采访中了解到,目前一些大型互联网企业已经加强了对恶意二维码的检测与防护。如基于腾讯大数据的支撑,用户通过微信扫描二维码访问网页时,微信将判断该网站是否属于数据库白名单;如果二维码网址不在安全库里面,则会被判断为非安全网址,用户需通过复制操作才能继续访问。

  支付宝也具有网址检测功能,可以判定扫描的二维码是否存在恶意链接;如果发现安全隐患,系统会发出安全提示,让用户判定是否需要进入跳转界面。

  记者注意到,利用二维码制造诈骗案件的不法分子,多以诈骗罪追究其法律责任。王玥认为,加强对二维码的管理和用传统的刑事罪名来定性,两者并不矛盾;而原有的刑事法律规范,在目前二维码相关的犯罪行为中能够起到应有的作用,依其要件定性为诈骗较为恰当。

(责任编辑:冯春辉 )
看全文
和讯网今天刊登了《二维码尚缺系统化监管机制》一文,关于此事的更多报道,请在和讯财经客户端上阅读。
写评论已有条评论跟帖用户自律公约
提 交还可输入500

最新评论

查看剩下100条评论

热门新闻排行榜

和讯热销金融证券产品

【免责声明】本文仅代表作者本人观点,与和讯网无关。和讯网站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。