科技时报--二维码易被盗刷？关掉免密支付更安全

警方破获2维码盗刷案，腾讯回应称，全额赔付保用户资金安全;记者发现，第3方软件可盗刷2维码

消费不用带现金，只需打开2维码轻轻1刷。微信、支付宝等推出2维码支付给人们的生活带来了极大的便捷。不过，在享受这类便捷体验性的同时，2维码支付也暴露出1些风险。近日，在重庆就产生了消费者使用2维码支付时资金被盗的案件。虽然用户被盗资金多为几百元，警方一样成功破了案，被盗刷钱也退还给受害者，但案件仍然引发用户对2维码支付的担忧。

腾讯方面5月27日回复新京报记者称，对盗刷案件深表歉意，并表示微信支付在延续通过对商户入驻的严格审核及风控额度限制，保障用户资金安全。

偷扫用户付款码盗刷资金

据央视新闻5月26日报道，近日，重庆江北公安分局成功破获了1起在超市收银处专门盗刷微信资金案件。4月21日至5月4日之间，4名受害人手持微信2维码在超市等待付款，被人从背后通过手机扫码，盗刷500到900元不等的资金。民警已于5月13日将嫌疑人彭某抓获。

据报道，本案中，作案者专门在超市收银台附近游逛，寻觅提早拿出付款2维码准备付款的顾客，再用手机远程扫描1下顾客的付款码，随后立即转身离开，全部进程用时仅10几秒时间。

据重庆江北公安分局吴警官向新京报记者流露，嫌疑人的盗刷进程是利用1个手机APP，通过这个APP手机就变成了扫码枪，嫌疑人扫完顾客的2维码后输入收款金额，资金立即被盗刷，扣款方名称显示为“1站式24小时便利店”，而不是顾客所处的超市名称。

负责承办该案件的江北区观音桥商业区派出所接连接到多起类似报案，后警方通过调取监控录像，锁定了嫌疑人，并将其抓获。吴警官介绍，该嫌疑人1共扫了3笔，每笔都不到1000元，偷窃罪是1000元以上立案，2000元以上处理。“虽然单笔金额不够刑事处罚，但1年内3次作案就构成了。”

腾讯回应：如被盗可追溯商户信息

5月27日，腾讯方面针对该案回复新京报记者称，“对本次盗刷案件的产生我们深表歉意，目前该案件犯法嫌疑人已被警方抓获，并将盗刷费用退还给受害者”。

“为保障支付的安全性，微信支付付款码时效性限制为1分钟且唯11次有效性”，腾讯方面还表示，若不幸遭受资金被盗，用户可以通过微信支付的“百万保障”，申请被盗赔付，或在账单详情中投诉，会有专业客服团队进行处理，确认被盗情况属实，微信支付会对被盗金额进行全额赔付。

2维码支付接入商户的束缚方面，腾讯称，支持付款码功能的商户需经过平台严格审核挑选并签订相干协议，如不幸被盗可通过商户相干信息追溯，请用户第1时间报警，微信支付会协助警方进行调查。微信支付在延续通过对商户入驻的严格审核及风控额度限制，保障用户资金安全。

4问2维码盗刷

1 2维码盗刷是怎样做到的?

上述案件中，嫌疑人是利用1个第3方支付软件去盗刷他人的付款码，到达盗刷资金的目的。在该软件上以商户身份注册，即可成为收款商户。需要收款时，只要扫描顾客的微信或支付宝付款码，然后输入金额，即可实现收款。在上述案例中，受害者被收款的账户名称均显示为“1站式24小时便利店”。

由于2维码免密限额1般为1000元，超过此限额需验证密码，因此该案嫌疑人每笔扫码的金额均在1000元以下。

吴警官表示，在作案进程中，嫌疑人扫完以后马上就走了，受害人即使当场发现被扣款也来不及了，反应过来的时候周围就只有排队的人了。”

在该软件上注册商户需要经过1定资质验证进程。吴警官介绍，据嫌疑人自述，其注册的店铺系捏造，正规流程需要商户提供身份证明、店内照片等，嫌疑人在他人店铺中，趁店主不注意拿着身份证拍了照片，假装自己是店主，然后用这些照片在软件上注册。“软件的审核流程没有那么细，嫌疑人自述的信息里没有提到营业执照的问题，只表示很简单就通过了。”

2 普通用户扫付款码能收钱吗?

在正常的手机支付进程中，顾客出示微信或支付宝的付款码，商家需要使用扫码枪或POS1体机等硬件设备来扫码，才能实现收款。“微信个人间转账与商户付款时出示的2维码其实不是同1个，且入口不同”。1位接近卡组织的人士告知记者，在商户付款时出示的2维码是“被扫码”，“被扫码”只有商户的机具可以扫。

记者通过量人间互测也发现，普通手机扫描他人的“被扫码”，页面会跳转至空白页。

1家支付公司人士表示，不排除的1种可能性是商户管理不严，移动POS机被人拿去盗用了。“但是移动POS机要扫码很困难，那么大的1个东西，而且必须要很近才能扫到。不排除恶意分子，借助支持微信2维码的收款APP或变造设备进行扫码收款进行盗刷。”

那么，是否是存在把扫码软件内嵌在手机中这样变造设备的可能?上述接近卡组织人士表示，理论上有点难，由于密钥罐装是有专门的厂商才有资质的，全国没有几个厂商有资质。“如果犯法分子有这个技术，绝对是黑客级。”

对警方流露的嫌疑人盗刷2维码1事暴露出的漏洞，上述卡组织人士认为，多是第3方商户管理不严而至强拆需要通知我本人吗。1位支付分析人也认为，有些小型支付机构确切存在审核不严的问题，这类行动主要是为争抢商户。

3 通过2维码盗刷资金的情况多吗?

产生2维码盗刷的概率大吗?新京报记者通过对周围的2维码支付用户采访得知，他们没有经历过2维码被盗刷的情况，也没有听过说身边有人被盗刷。

腾讯方面5月27日提供给记者的1份材料称，2维码被“隔空盗刷”是出现概率极低的事件，在消费者不知情的情况下，“隔空”盗刷数万元，基本上不存在。而且在实际生活中，入侵商户视频监控设备，是1件技术门槛很高，实际操作起来难度很大。

不过，在现实中，不时有2维码盗刷的案件见诸报道。本案中盗刷的方式是利用软件假冒商家，在线下找机会扫他人的付款码，2维码盗刷还有其他方式。

1种较为典型的盗刷方式是偷换商家收款2维码来盗刷。据央视2016年12月报道，广东佛山产生1起偷换商家2维码盗刷案件，作案团伙在商家本来的收款2维码上贴上1个更小的2维码，这样顾客扫描2维码付的钱就转移到了作案团伙的账户上。

除普通商户可能被偷换收款2维码之外，常见的还有交通罚单、水电缴费单等2维码被偷换的案例，乃至包括共享单车上的2维码。

还有1种方式不属于直接的2维码盗刷，而是以2维码为入口传播木马病毒或恶意软件。2017年就有媒体曾报道过类似案例，作案者发出1张2维码图片，称其中为商品信息或优惠信息，用户扫描以后，2维码中隐藏的木马病毒被植入用户手机中，可能会盗取相干手机上的银行账号、支付密码等信息，造成财产损失。

4 用户如何保护手机账户资金安全?

对常常使用2维码支付的用户来说，怎样才能保护自己的资金安全?

腾讯在给记者的回复中提示到，微信支付用户在付款前可以留意周边环境，不要提早打开付款码，付款时再打开付款码完成支付。

上述接近卡组织的人士也提示到，1方面用户可以调低免密支付限额或关掉免密支付，另外1方面理论上建议大家改变支付习惯，“不要在排队的时候就去打开付款码，而是等快轮到自己交易的时候在做。”另外，建议打开指纹验证，这样安全性更高1些。

5月27日，江苏网警也通过微博发布提示：使用2维码付款时，应注意视察身后有无可疑人员。同时，广大市民也能够关闭“免密支付”功能，降落支付安全风险。

如果产生2维码盗刷造成资金损失，用户该怎样办?

微信方面表示，若不幸遭受资金被盗，用户可以通过“我-支付-钱包-安全保障-百万保障”，点击“进入赔付流程”申请被盗赔付，或在账单详情中投诉，会有专业客服团队进行处理，确认被盗情况属实，微信支付会对被盗金额进行全额赔付。

腾讯在提供给记者资料中也提到，支持小额免密功能的商户经过平台严格审核挑选并签订了相干协议。如果不幸产生资金被盗，可通过商户相干信息追溯资金去向拆迁户口不在村里怎么补偿。(记者 顾志娟 程维妙 罗亦丹)