移动互联网

你的无感支付,他的“隔空扫码”

2019/7/25 21:49:00

想象一下,如果你正在超市的收银台前,手里拿着准备刷码付费的手机,无聊地排队等待收银员收款……突然手机震了一下,提示已经付款(刷码)成功,几百元就此不翼而飞。你是否觉得不可思议?

这可不是“无感支付”的黑科技,而是一种悄然出现的黑产伎俩。用户的钱,并非被商家收取了,而是打开手机付费二维码等待付款时,被站在远处的不法分子,用手机或专业设备扫码并划走了款项。

根据多家媒体的报道,这样的事件在全国各地均有发生,媒体也提醒消费者拿手机消费时注意移动支付安全。有部分网友评论表示,没想到拿着手机也会被盗刷,难不成扫码时要用手捂好手机?

扫码支付款真的安全?

懂懂笔记走访北京和深圳市的多家连锁便利店、大型超市时,发现除了一些老人家,绝大多数消费者结账时使用的都是手机移动支付。在泥岗东路附近一家华润万家社区超市,懂懂笔记看到用户在收银台排队时,大多数人都是提前打开了手机上的付款二维码。

“手里拿的东西太多了,先打开二维码,一会往结账的机器上一刷就完事。”一位四十多岁的女性顾客表示,她的刷卡习惯一直如此。很多人一是为了节省时间,二是为了不耽误后面排队的人,“早上买东西都是中老年人,大家都是为了提高效率。”

当被问及是否担心手机二维码被不法分子“隔空扫码”时,这位消费者表示没有听说过这种情况,不过她认为超市的安保监控力度较强,远比街边小摊、商店严密得多,所以不会担心。

在附近一家美宜佳便利店,懂懂笔记看到一位排队时玩手机打发时间的年轻女士,在交流中这位女士表示,这家便利店以前结账是要扫一下店家贴在墙上的二维码,最近才换上了二维码扫描枪。“平时就这么打开二维码等着结账,也没发生过什么意外”。但是当被问及是否担心被不法分子“隔空”盗刷时,她下意识地按熄了手机屏幕。

“之前只听说过有人在商店、餐厅贴出来的二维码上,覆盖了自己的收款二维码骗钱。”在深圳东门步行街路边的美食摊位,也有不少游客、消费者结账时是提前打开了支付二维码,多数人都是和周围亲友聊着天,似乎并没有在意手里晃动着的手机。

“看到上海有一个新闻报道(隔空扫码),我觉得收银台和支付平台应该会想办法改进吧。”一位来自江苏南京的女游客如是说。在她看来,无论是扫二维码支付还是是“被扫码”结账,安全都不应该是消费者考虑的问题。

那么,不法分子究竟是采取什么样的手段、伎俩,实现“隔空扫码”?移动支付的运营平台,是否有办法防止类似事件的重复发生?

过肩即可扫码,聚合收款可行

“隔空扫码”到底需要多近的距离呢?

为此,懂懂笔记做了一番实验。在北京市朝阳区的某家大型超市,懂懂笔记的小伙伴站在等待结账的排队人群后,通过过肩方式用手机尝试扫描顾客手机上打开的二维码。

结果发现:在距离80cm的范围内,哪怕消费者轻微晃动手机,付款二维码也能被手机镜头扫取、识别;当距离超过120cm之后,扫码框甚至还会放大焦距,以两倍方式“尽力”读取前方用户手机屏幕上显示的二维码,尽管识别稍艰难,但最终还是有几次能成功扫描读取。

然而,如果用支付宝和微信的“扫描功能”扫取二维码,却无法转走用户账户中的资金。只会在扫描、识别之后,显示出一串数字或乱码。那么,不法分子究竟是用什么方式转走用户资金的呢?

“那是一种聚合收款应用,可以扫码收取支付宝、微信支付、银行卡APP的二维码、条形码,实现收款结账的工具。”据一位不愿具名的新闻媒体记者透露,他在过去采访相关灰产话题时,就了解到这一类收款应用有不少小商家都在使用。

通常,为了避免被不法分子覆盖自己的收款二维码,大多数商家都使用“扫码”方式结账,即扫描用户手机的付款二维码,然后协议扣款。但不少规模较小的店家、排挡不愿投入成本安装专业收银设备,因此便会下载此类聚合收款应用,或申请小型收款机。

“部分聚合收款应用可以安装在手机上,只要申请即可开通提现账号。”上述记者表示,这种站在消费者背后,通过“隔空扫码”方式转走用户资金的手段,基本上用的都是这一类聚合收款应用。

如果在手机应用商店、App store上搜索聚合收款,就能找到不少类似的聚合收款应用。用户安装后开通收款功能、提现功能的门槛也很低,有的仅需提供身份证,即可开通以上功能。

“不法分子用于开通扫码、收款功能的身份证、工商资料,应该都是从灰产那里购买的。”上述记者表示,由于收款功能开通审核不严,因此这类“隔空扫码”盗转消费者资金的行为,也很难追查收款账户的源头。

这样一来,不法分子只要手持一款装有聚合收款应用的手机,就可随时随地站在用户背后扫取付款二维码,并实时转走用户账号上的资金。这一过程与在店铺结账的效果一致。普通的小额交易,甚至无需消费者再次输入支付密码。

那么,是否禁止这类手机聚合收款应用在扫码、协议转取用户资金时的权限,就能够阻止“隔空扫码”的发生呢?

收款设备常见,二次鉴权更安全

“现在很多聚合收款应用的APP收款只是一种辅助功能。”

雷宇鸿(化名)曾在一家互联网金融企业任营销经理,负责推广该公司旗下的聚合收款产品。他告诉懂懂笔记,早期不少小商户的确都是采用聚合收款APP来收款,但现在大多商家使用的是聚合收银设备,即自带扫码枪的手持设备。

这种小型收银设备只需通过蓝牙连接,或绑定机器的编码,即可实现金额设置、扫码收款。这也是现阶段市面上大多是个体工商户使用的移动收款方式,“因此,有部分聚合收款工具,已经取消了手机APP扫码收款功能。”

但雷宇鸿认为,取消手机聚合收款APP扫码收款的功能,并不能完全杜绝“隔空扫码”的事件发生。毕竟,收款所采用的外设扫码设备体积也不大,很有可能被不法分子改装成扫码工具。

“直接拿收款设备上街扫码的可能性比较小,但改装的话,发行机构也管不了。”他告诉懂懂笔记,如果有不法分子将外设类型的聚合收款设备加以改造,就能够实现“隔空扫码”。

更何况,类似聚合收款、扫码的设备随处可买,价格介乎100~500元之间,成本也很低廉。部分设备甚至还具有银行卡“挥卡支付”功能,一旦用于小额转取消费者储蓄卡、信用卡的资金,自然也不在话下。

“真的想要确保资金安全,相关支付方式需要改进,消费者也真的要长点儿心。”雷宇鸿建议,现如今扫码即付的功能虽然便捷,但缺少支付密码二次鉴权,这也给不法分子提供了“隔空扫码”的机会。

对此,有关行业人士也指出,为了用户的资金安全,应该降低免密扫码即付的金额额度;或者,平台方引导或建议用户在设置扫码付款时,应输入支付密码,进行二次鉴权;此外,用户在公共场所使用扫码支付时,也要保护好自己的支付二维码,不要提前打开拿在手里“晃悠”。

尤其是购物、排队过程中,我们每个人都要注意,切勿提前打开支付应用“亮着”付款码,另外在贴近商家扫码器付款时,也应用手掌虚掩付款码,以免给不法分子提供可乘之机。

【结束语】

移动支付已经和WIFI一样,成为人们生活中不可或缺的一项功能。越来越多的消费者在购物、餐饮场所都习惯于使用移动支付进行结算,包括衣食住行中的很多方面,都已经可以一扫走天下。

正是因为二维码、付款码的普及,才会导致不法分子钻取一些漏洞,“隔空扫码”盗取用户的资金。因此,我们在享受便利的同时也要提高防范意识,保护好自己的资金安全,同时也希望商家和支付平台能否针对这些“特例”,尽快给出更好的解决方案。毕竟,方便诚可贵、安全价更高!

——————————————————————————————————

微信关注公众号“懂懂笔记”每天第一时间为您奉上最新最热的科技圈资讯~

多年财经媒体经历,业内资深分析人士,圈中好友众多,信息丰富,观点独到。

发布各大自媒体平台,覆盖百万读者。

《小米生态链战地笔记》、《微信思维》、《微信力量》三本畅销书的作者


版权声明
本文仅代表作者观点,不代表艾瑞立场。本文系作者授权艾瑞专栏发表,未经许可,不得转载。

专家介绍

  • 懂懂笔记

    总访问量:201048
    全部文章:979
科技互联网自媒体懂懂笔记,钛媒体2017年度十大作者,蓝鲸TMT2017优秀作者,著有《小米生态链战地笔记》、《微信思维》、《微信力量》等三本畅销书。
  • 合作伙伴

  • 官方微信
    官方微信

    新浪微博
    邮件订阅
    第一时间获取最新行业数据、研究成果、产业报告、活动峰会等信息。
     关于艾瑞| 业务体系| 加入艾瑞| 服务声明| 信息反馈| 联系我们| 合作伙伴| 友情链接

Copyright© 沪公网安备 31010402000581号沪ICP备15021772号-10

扫一扫,或长按识别二维码

关注艾瑞网官方微信公众号