这就出现了大问题

来源:未知  发布时间:2018-08-12 20:03 

  笔者的同学阿楠是共享单车的资深爱好者。一日,在她准备向南京珍珠泉进发时,掏出了手机,对准了路边停放的小黄车,一开始扫码页面总是提示加载错误,于是她转向了旁边的另一辆小黄车,扫完码等付款页面弹出,她看都没看直接选择了付款,迫不及待地开启了骑行之旅。畅游完毕,晚上她习惯性地使用记账APP开始记录一天的花销,却发现莫名其妙多花了298元。等她翻遍自己各种APP的付款转账记录,发现在扫小黄车1元码的时候,付款的不是1元,而是299元!

  这其实是一场不算高明的骗局。听阿楠分析,一开始扫码不成的那辆小黄车可能就是一个饵,有的人急用车,就会直接选择它旁边的车,为了赶时间看都不看直接扫码付款,从而掉进了骗子设下的陷阱。但是,如果她不赶那几秒呢?看一看转账金额和官方报价的差距,就会意识到,这真的就是一场简单的骗局而已。

  路总局监理组长林义胜表示,年初确实有学者建议增加机车路考,不过,经评估执行困难度不低,且机车肇事问题不在于骑士的操控技术,而是风险观念,因此将从增强考试内容着手,例如今年又会增加80道情境题,考验考生反应。

  然而,骗子的手段绝非只有替换二维码这一招,让我们拿出手机,打开搜索引擎,输入“扫描支付被骗”这些关键字,就会发现,骗子花样迭出,真的是让人防不胜防。

  比如,后台甩给你一个二维码链接,要求你扫一扫按提示进行操作,结果一扫手机就被植入恶意代码,变成黑灰产的“取款机”……

  这些,绝不是危言耸听。在这些可怕的案例里,二维码,这个我们认知中的极速搞定一切生活所需的“李逵”,已经被从事黑产的不法分子偷偷换成了盗窃我们信息、骗取我们钱财的“李鬼”。

  二维码利用了二进制原理,由许多小块构成,在这些小块里,白色代表0,黑色代表1,这些数字经过排列组合得到一个矩阵,然后通过特定的算法编译信息,这些信息可以是文本、图片、网站链接、安装包、文件、视频等等。

  这些二维码本身不存在问题,就像“李逵”这个代号一样,可是,在扫码前,你不知道之后面对的是“李逵”还是“李鬼”,当找“李逵”最后却跳转到“李鬼”,这就出现了大问题。

  “李鬼”带来的是恶意病毒窃取信息、恶意软件应用强行扣费、恶意伪造商户网站盗刷盗付等等恶意攻击。这是黑灰产攻击我们的第一种路径。

  第二种路径就是前面所举的阿楠的案例,黑产从业者直接通过替换二维码的方式发起攻击,二维码是正常的,不正常的是黑产从业者企图用正常的方式掩盖罪恶。

  看到这里,也许有人会问:既然黑产无孔不入,防不胜防,我们怎么做才能守好自己的私密信息不致钱财受损呢?

  (1)选用专业扫码工具扫描二维码,扫码前还要注意开启杀毒软件,比如360、腾讯管家等。扫码后,一旦软件发出安全提醒,迅速进行杀毒操作。如遇到页面要求先下载应用再进行支付的情况,直接选择正规安卓应用商店或者APP Store下载自己想要的应用,并咨询官方是否有二维码扫描下载应用再支付的这种操作,不要怕麻烦。

  (2)二维码指向的附带文件、视频等,尽量不要下载,询问给码人员文件来源,确定渠道真实可信后方可下载。

  (3)二维码指向的网站链接,事先开启杀毒软件,这些软件在我们浏览虚假钓鱼网站时会及时发出警报。但是也不能完全依赖于杀毒软件,最好还是要查明该网站是否通过了可信验证(中国互联网络信息中心网站下方即可开启查询),为我们提供双保险。以上任何一类操作未进行时,千万不要输入敏感信息,严保个人安全。

  (4)二维码指向某商家、某用户的付款界面,尽量与该商家、该用户当面进行交易并请对方予以确认。

  A、微信支付选择以下设置方式:点击钱包,选择右上角四叶草标志,选择支付管理,开启指纹支付提升支付安全性,转账时间设置24小时到账,如果自己真的付款给恶意账户,可跟微信客服直接联系,这段时间还可以用于追回钱款。

  B、支付宝选择以下设置方式:点开支付宝进入我的页面,选择设置,进入安全中心,开启指纹/手势解锁、数字证书、暗号功能,返回设置,选择支付设置,自定义扣款顺序,可以优先设置金额较少的零钱、余额宝,再设置金额较多的银行卡,一旦发生问题,可以及时冻结资产止损。

  打开苏宁金融APP,点击右上角的按钮进入设置页面,设置免密支付金额和当面付免密支付,设置扣款顺序和指纹支付功能-进入账户安全中心,选择使用安全保护工具多重保障账户安全,必要时可以使用急救功能挽回损失。

  (1) 正常商家平台贴出的二维码,一般不会采用普通纸、胶质纸打印,一些做自营生意的卖家可能会采取这种方式,这种情况下,依据商量好的金额付款,并且当面跟卖家确认。