條碼易複制漏洞引發詐騙
2017年3月,央視報道稱在浙江寧波,有共享單車出現了“惡意”二維碼,用戶掃碼後共享單車不能解鎖,而是轉到了私人的微信支付頁面,有用戶上當受騙。此外2017年7月,重慶當地媒體報道,有商戶反映二維碼被替換,隨後警方抓獲兩名犯罪嫌疑人,經了解他們通過篡改20多家商戶的二維碼方式獲利1萬多元。
中國支付清算協會執行副會長兼秘書長蔡洪波表示,與傳統的銀行卡不同,條碼支付的條碼具有可視化特點,容易被複制、截屏、傳輸,可以被打印,安全防護能力不強。很多不法分子就是針對條碼防護能力弱、使用環境可控性差這些特點實施詐騙。如靜態條碼被調換、偽造條碼進行欺詐、條碼中嵌入木馬病毒程序等導致客戶個人信息洩露和賬戶資金被盜用等。
根據央行新規,條碼支付交易驗證可以組合選用三類要素:一類是僅用戶本人知悉的要素,如靜態密碼;一類是僅用戶本人持有並特有的,不可複制或者不可重複利用的要素,如經過安全認證的數字證書、電子簽名,以及通過安全渠道生成和傳輸的一次性安全驗證碼等;另一類則是用戶本人的生物特性要素(如指紋)。
由此,風險防範能力被分成了四類:達到A級,即採用數字證書或電子簽名在內的兩類以上有效要素進行驗證的,可與客戶自主約定單日累計限額。也就是說,客戶可以自己決定每日消費限額。
最低一級則是D級,即前述所說小商戶貼在櫃台上的靜態條碼,同一客戶單個銀行賬戶或所有支付賬戶單日累計交易金額應不超過500元。
中間的B級,採用不包括數字證書、電子簽名在內的兩類(含)以上有效要素對交易進行驗證的,單個客戶單日交易限額為5000元。C級則是採用不足兩類要素對交易進行驗證的,交易限額為1000元。
- 三問掃碼限額
|
