二维码支付风险及应对研究

李晓蕙 陈洲洋

对于隐藏在便捷之下的二维码支付安全漏洞，防范其发生，减轻其危害，需要政府、平台、企业、商户、消费者等共同协作，不断提高二维码支付的科技含量、安全防范意识和监督管理水平。

随着互联网技术与O2O商业模式的快速发展，我国开始进入数字经济时代。在商品交易过程中，随身携带现金、用现金支付的时代已经一去不复返。日常生活中，人们习惯拿出手机扫描商家二维码，或者由商家利用扫码枪、扫码盒子扫描消费者支付码完成支付。不论是个人衣、食、住、行的付款缴费，还是企业、商户之间的交易，融合了“互联网+支付”的二维码支付形式，已经成为支付方式的主流。当下，微信月活跃用户超过9亿，支付宝活跃用户超过4.5亿，二维码支付在生产、生活中日益普及。

与传统的支付方式相比，二维码支付更加快捷、便利，摆脱了纸币的物质材料限制，减少了交易过程中因为货币的磨损、丢失造成的财产损失;缩短了远程交易的时间，降低了支付的时间成本，也减少了商户收款时间与结算流程;满足了人们足不出户能转账、不带钱包可消费的愿望。但是，在二维码支付风生水起之时，也出现了由二维码支付漏洞带来的支付安全风险，成为经济社会发展中的新问题。

一、二维码支付中的安全风险

二维码支付带来的安全风险表现为静、动态二维码本身具有的不足给线下用户的支付安全埋下的隐患、由支付行为引发的信息泄露、不法分子利用二维码进行金融诈骗等。现实当中，二维码支付的风险来源于二维码支付当中使用的软件、硬件及网络，但众多风险的最终表现形式都归结为一点，即窃取二维码用户的钱财。

在众多安全问题中，诈骗行为的存在最为普遍，造成损失大、难以追回。作为一种新的支付方式，二维码运行本身存在漏洞，各种居心不良的诈骗分子利用移动支付漏洞，不断衍生出各种形式多变的诈骗手段，令使用二维码支付的商户和消费者眼花缭乱，诈骗案件的数量不断增加。

根据2018年安徽工程大学进行的关于二维码支付风险的调查问卷结果显示，在受访者中，没有遇到过扫码支付诈骗手段的只有16.54%。受访者遇到的诈骗手段最多的是扫码领红包和手机病毒，分别为39.23%和38.50%;其次是恶意软件和骗取付款码，分别为30.75%和31.01%;另有23.77%的受访者遇到的诈骗手段是二维码以假换真，24.03%的受访者遇到的诈骗手段是钓鱼网站（见图）。

从调查结果可以看出，80%以上的二维码支付使用者都曾经遭遇过不同形式的支付风险，可见二维码支付本身确实存在安全漏洞，给了诈骗分子可乘之机。

二、二维码支付安全漏洞表现

二维码支付安全漏洞是由于二维码本身特征、商户与消费者的操作以及政府监管方面存在不足造成的，可以具体归纳为以下三个方面。

（一）隐藏在二维码下的恶意代码与病毒

二维码作为一种数字信息汇编图形，使用若干个与二进制相对应的几何形体来表示文字数值信息，通过图像输入设备或光电扫描设备自动识读以实现信息自动处理。文本、网址、图片、音频、视频都可以通过生成器自由转换为二维码，过程仅需输入需要跳转的内容即可，免费制作，不限次数。不仅如此，二维码生成器网站还提供免费将所生成的二维码升级为活码的服务。所谓活码，即可以随时修改二维码内容而二维码图案不变的一种二维码。

便捷的二维码生成途径可能导致恶意代码、病毒、不良信息携带进入二维码当中。即使在生成二维码的协议当中声明，不得将生成二维码运用于伪造、诱导、欺诈、违规代理等不法用途当中，但由于在生成前没有严格的审核过程，而在违法行为产生后，经网站发现会给予相应处罚，使得违法使用二维码的事件只增不减，如此“亡羊补牢”式的处理相对于雨后春笋般出现的不良行为，无法从源头上减少风险。

由于互联网具有极快的传播速度和极广的传播范围，当消费者扫描违规的二维码时，在极短时间内可能会造成较大范围的不良影响，因此出现了红包诈骗、扫码诈骗等事件。不仅如此，在扫描二维码后网站的跳转，往往不会出现消费者确认的界面，也不保留跳转网址，这导致了消费者无法迅速中止不良网站跳转和病毒转移，也难以为损失追回保存证据，导致部分消费者可能遭受由于该二维码携带病毒造成手机客户端被攻击、账户信息被盗取等损失。

（二）二维码支付可能会导致消费者的信息泄露

二维码支付导致消费者信息泄露主要有两个渠道，一是由于消费者的操作不当导致病毒盗取或钓鱼网站盗取其信息;二是由于二维码支付平台对信息保管不利而导致用户信息泄露。

当消费者误扫二维码进行支付时，有可能进入了伪装成银行及电子商务、窃取消费者提交的银行帐号、密码等私密信息的钓鱼网站，不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取消费者银行或信用卡账号、密码等私人资料。钓鱼网站的页面与真实网站界面完全一致，要求访问者提交账号和密码，在访问者不知情的情况下，获取消费者信息。除此以外，还存在消费者扫描二维码后进入类似公众号平台的一个又一个连环的引导性跳转，需要消费者允许登陆该平台才会进入支付或者下一步操作，这样的操作在弹指间也许就会导致你的信息瞬间被他人获取，用于违法获利。

从支付平台的角度来看，消费者的信息泄露主要由于平台方的操作与管理不当。在消费者选择运用某一支付平台进行二维码支付时，消费者用户需要提供自己的身份证、银行卡、手机号等关键信息，在支付后，支付平台将保留包括消费者个人的地理位置、绑定的银行卡信息、身份证件信息、银行预留手机号码等重要的个人信息以备银行查询。当支付平台对于信息管理不够严密，出现内部人员泄露、出售信息或支付平台的信息管理系统遭遇黑客攻击、病毒入侵等情況时，用户的信息安全将岌岌可危。

（三）静态二维码存在被替换的风险

静态码主要是用于小商户日常收款之用，市场上消费者付款时所扫的商户收款码基本都是静态二维码。静态二维码一次生成，重复使用，很容易被替换，不像扫码枪扫描时的活性二维码那样可以随机产生、一次性使用。这样，不法分子利用涂改、覆盖形式可以更改原商户的收款二维码。商户的静态二维码一旦被替换，消费者支付钱款就会进入二维码替换者的账户，给本应收到消费者钱款的商户带来损失。自二维码支付使用以来，多次出现商户收款二维码被替换的问题，尤其共享单车、市场小商铺等静态二维码使用者，是被替换的重点。虽然为了保障二维码安全，央行为静态二维码设定了支付上限，规定自2018年4月1日起静态二维码单日交易金额不超过500元，确保商户不会遭受大额损失，但规定本身降低了消费者支付便捷性，也没有增强静态二维码的安全性。

三、应对二维码支付安全漏洞的措施

对于隐藏在便捷之下的二维码支付安全漏洞，防范其发生，减轻其危害，需要政府、平台、企业、商户、消费者等共同协作，不断提高二维码支付的科技含量，增强人们的安全防范意识，提升相关机构和平台的监督管理水平。坚持以防为主、以治为辅的基本原则，在加大预防力度的基础上，后续管理措施要不断跟进。

（一）增强二维码使用者的安全防范意识

对于外在化的二维码支付隐患，二维码的使用者——商户和消费者均需加强安全防范意识。商户应当在张贴自己的二维码时，注意防护，防止他人更改自己的二维码;定期检查二维码的完整性和正确性，并且对消费者付款不播报的情况提高警惕，及时止损。消费者在扫码支付时也要增强安全意识，不随意扫码，不扫来历不明的二维码;在扫描公共场合的二维码时，要注意核实二维码是否来自所扫描的商家、商品;不轻信跳转的页面提示、不粗心大意地进行支付、不随意登陆并同意不明协议。二维码用户在主动规避安全漏洞的情况下，能够有效降低由于粗心大意造成的财务损失和信息泄露。

（二）对二维码支付提供安全技术支持

要想提高二维码支付的安全性，需要在客户端加强先进技术的研发和应用，减少二维码安全漏洞给消费者带来的损失。提高二维码本身使用过程的验证、生成技术的安全风险防范能力，增加二维码替换难度;为移动设备用户安装防火墙、杀毒软件，保证在触发病毒时及时提示、终止入侵;支付客户端用户可以下载安全保证书、设置屏蔽风险网站，保障在浏览、支付时的安全，规避不法网站的安全风险。

（三）加强二维码获取资格管理

目前二维码获取资格准入门槛较低，导致二维码背后的商户质量良莠不齐，因而洗钱、套现以及消费者扫描后利益受损的情况出现。目前支付宝的商户收款二维码申请极为简单，申请商户收款二维码的流程为：商户点击支付宝的“扫一扫”功能，扫描官方网站的申请二维码，在手机客户端选择寄送或者自行打印的方式，点击“同意协议并申请/打印”即可获取收款二维码。在协议中虽然注明了商户需提交真实完整且有效的银行借记卡信息，不得进行违法操作，但是操作中对于商户的规模与资质，没有任何实质性的审核。这意味着无论什么样的商家，在商户拥有银行卡账户的情况下即可拥有门店需要的收款二维码，也意味着一个商家可以拥有无限多个收款二维码。二维码的易得性，决定了收款码背后的商户不可计数，普通消费者无法辨别该二维码的汇款方向，管理者也难以掌握各种支付情况。

由此，需要支付平台在提供二维码服务的时候，应当做到对申请者身份进行基础性核实，必须获得二维码使用者的真实身份信息。在此基础上，依据所申请的业务和二维码运用方向，平台可以要求申请人提交相关资料留存，并跟进监督。政府可以指定专门部门负责二维码业务，设置年检专柜等，提高二维码的获取准入门槛，加强对支付二维码背后商户的质量筛选。

（四）分级设置支付验证方式

保护二维码支付安全的一个有效手段是在二维码支付过程中加强验证环节的管理，可以增加不同验证方式、设置验证间隔时间、设置延时到账机制。验证方式的增加可以结合不同额度进行分级设置，随着额度的层级增加，加大验证的私人性、安全性力度。在消费者多笔大额度转账支付过程中，可以设置验证時间的间隔，降低套现风险。建立二维码支付延时到账机制，对于二维码支付款项可以先划入央行支付清算系统，24小时后到账。在这24小时内，客户若发现有问题，可以申请撤销，减少由于错误支付造成的损失。另外要方便警方通过二维码中银行卡信息查找出犯罪分子的信息，为警方处理案件争取一定的时间。

四、结语

在移动支付快速发展的今天，二维码支付前景依旧光明。尽管出现了“刷脸支付”等新兴支付方式，但短时间内在设备成本、设备普及度和应用客户端的覆盖程度上还有其局限性，二维码支付的主流地位仍然不可撼动。当然，二维码支付安全漏洞问题，也影响到二维码支付的进一步发展。通过技术升级、安全宣传、多方治理，有效增强二维码支付的安全性，不断优化二维码支付的场景体验，从而推动我国移动支付继续引领世界。

（作者单位：大连海事大学公共管理与人文艺术学院）