条码易复制漏洞引发诈骗
2017年3月,央视报道称在浙江宁波,有共享单车出现了“恶意”二维码,用户扫码后共享单车不能解锁,而是转到了私人的微信支付页面,有用户上当受骗。此外2017年7月,重庆当地媒体报道,有商户反映二维码被替换,随后警方抓获两名犯罪嫌疑人,经了解他们通过篡改20多家商户的二维码方式获利1万多元。
中国支付清算协会执行副会长兼秘书长蔡洪波表示,与传统的银行卡不同,条码支付的条码具有可视化特点,容易被复制、截屏、传输,可以被打印,安全防护能力不强。很多不法分子就是针对条码防护能力弱、使用环境可控性差这些特点实施诈骗。如静态条码被调换、伪造条码进行欺诈、条码中嵌入木马病毒程序等导致客户个人信息泄露和账户资金被盗用等。
根据央行新规,条码支付交易验证可以组合选用三类要素:一类是仅用户本人知悉的要素,如静态密码;一类是仅用户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性安全验证码等;另一类则是用户本人的生物特性要素(如指纹)。
由此,风险防范能力被分成了四类:达到A级,即采用数字证书或电子签名在内的两类以上有效要素进行验证的,可与客户自主约定单日累计限额。也就是说,客户可以自己决定每日消费限额。
最低一级则是D级,即前述所说小商户贴在柜台上的静态条码,同一客户单个银行账户或所有支付账户单日累计交易金额应不超过500元。
中间的B级,采用不包括数字证书、电子签名在内的两类(含)以上有效要素对交易进行验证的,单个客户单日交易限额为5000元。C级则是采用不足两类要素对交易进行验证的,交易限额为1000元。
三问扫码限额
1、500元限额够用吗?
“条码支付与传统银行卡等支付工具相比在交易安全性上存在一定不足,人民银行坚持条码支付小额、便民的定位,对条码支付风险防范能力进行分级。”央行相关负责人在此前的答记者问中表示。“小额、便民”是其中的关键词。
一家媒体曾在新规发布日当天的调查称,有超过60%的网友认为500元的限额不能满足需求。不过,据新京报记者小范围调查,如果不用于诸如家用电器之类的大额支出,500元可以基本满足周围同事的日常支出。
如在北京工作的张先生对记者表示,按照早饭10块、午饭和晚饭在30元左右算,即使都用扫码支付,500元的静态条码限额满足日常的生活也绰绰有余。
“咱们说的静态码是贴在收银台上的一个二维码,这个不够用,其实有其他的一个措施,商户主动去扫顾客,也可以选择银行卡支付,或者现金。”苏宁金融研究院互联网金融研究中心主任薛洪言对新京报记者解释。
根据中国支付清算协会发布的《2017年移动用户调研报告》,2017年,有43.0%的用户单笔支付金额在100元以下,29.5%的用户单笔支付金额在100-500元;14.8%的用户单笔支付金额在500-1000元;12.6%的用户单笔支付金额在1000元以上。也就是说72.5%的用户不受限。
薛洪言认为,从场景上来看,500元钱的限额制定应当经过了一个精确的测算,即根据历史的交易情况,能够满足绝大部分用户线下扫码支付的需求,所以对大多数用户来说不会有太大的影响。
