在上海地区网络安全嘉年华活动上,现场模拟了市民拿着二维码准备进行电子支付,攻击者从3米以外通过镜头缩放,成功识别出这个二维码。此外,技术人员利用专用的工具,25秒就破解了一个包括数字、字母、特殊符号的密码,以此向人们强调,在多个网站用相同密码很不安全。(9月8日《新华网客户端》)
“3米外盗刷支付码”有两种办法。一种是,攻击者从3米以外距离通过镜头缩放,识别出二维码。在很远的距离,二维码就能被人盗刷。就好像一个可以刷卡的POS机一样,只要对准他人付款码,就可以完成支付。类似于超市收银员,只要扫码枪对着你的手机扫一下,你不用进行任何操作,无需输入密码,钱就从你手机进入了超市账户;一种是,利用“专用工具”,25秒就破解了一个拥有数字、字母、特殊符号的密码。有市民当场自行测试了平时设置的密码,8位数字加字母组合的密码几乎一瞬间就被破解。
“3米外盗刷支付码”,从技术层面来说,是不存在多大难度的。因此,这种善意的提醒是比较及时的。这就提醒我们,要更加小心保护支付安全,在商家扫描支付码之前,尽量用手或其它物品遮挡一下支付码,以免被人从远处盗刷。而且,需要防范“技术犯罪”,比如盗刷他人二维码的“专业工具”。
随着手机支付的普及,如今我们去商场、超市、门店、路边小摊都能够扫码支付,很多情况下店家会要求你出示二维码支付,无需手动输入金额,更加简单快捷。然而,这种支付方式也存在一定安全隐患。“支付码3米外能被盗刷”,本质上来说,就是一种敞开的技术漏洞。即便这种安全隐患的风险再小,都值得有关部门去研究,采取措施填补技术漏洞,不能让风险和漏洞总是敞开着。化解“支付码3米外能被盗刷”的风险,靠“善意提醒”更靠“利剑出鞘”。
一个方面,需要规范支付宝和微信的“免密支付”游戏规则。“免密支付”是一种便捷服务的自我选择,它不需要密码也能付款,比如日常点外卖,付款时自动扣除,省去了输入任何支付密码的步骤,可风险也随之而来,对于看重个人支付安全的用户,不妨关掉免密支付功能。或者,在“免密支付”上打上“技术补丁”,尽可能降低“免密支付”的风险。
一个方面,需要严厉管控“专业工具”的研发者,生产者。现实生活中,不少黑客研发了一些危害社会的“灰色软件”“灰色仪器”之类的东西,这些所谓的“科技产品”实际上是一把双刃剑,有的既有好处也有坏处,有的则“只有坏处没有好处”,甚至就是专门为高科技犯罪提供“服务”的。对于此类软件和仪器,要来一次技术检验,将“科技犯罪”一网打尽,不能让其危害社会。
“支付码3米外能被盗刷”,不能只是善意提醒,技术的漏洞,终极需要用更先进的技术填平。技术防范必须是“魔高一尺道高一丈”。
营业执照公示信息