王卫华
(河南警察学院 网络安全系,河南 郑州 450046)
随着移动互联技术快速发展以及移动智能终端设备迅速普及,二维码作为一种新兴技术的信息传播载体,具有存储信息量大、制作容易、成本低廉、使用方便的特点,被广泛应用到社会工作、生活学习和娱乐中。二维码在商场超市、餐厅、医院、农贸市场等各种场所随处可见,具有广阔的应用前景,给人民群众带来了极大便利,促进了社会发展。据统计,二维码用户每天个人使用扫码的次数高达7 次,已经成为生活中的重要部分和一种生活方式。但是二维码在被大力普及应用的同时,由于现实存在的监管、技术、法律等方面的漏洞成为一些犯罪分子实施犯罪的工具,为其提供了新的犯罪途径。近年来,利用二维码传播病毒和不法信息、侵害公民个人财产的犯罪案件与日俱增,安全使用问题越发严重,成为了新的犯罪热点,给广大用户的财产和信息安全带来了一定的侵害,影响了二维码应用可持续健康发展,破坏了社会稳定和谐发展。因此,为了严厉打击二维码违法犯罪活动日益猖獗的态势,必须要充分认识二维码犯罪给社会和行业带来的严重危害,提高二维码安全性,规避二维码使用风险,保护用户合法权益,对二维码犯罪活动采取切实有效的方法进行治理刻不容缓。
二维码全称是二维码条码,通过利用计算机技术中“0”“1”比特率概念,在水平和垂直方向上按照一定的规律进行黑白相间分布,包含一定数据信息的矩阵式几何图形,是近年来在移动终端设备上普遍使用的一种编码方式。二维码是通过图像输入设备或者光电扫描设备进行自动读取的一种特定图形存储器,能够存储文本、数字、图片等信息,所存储信息隐藏在二维码后面的链接中。每个二维码都唯一代表一个码制信息。由于二维码能够在水平和垂直两个方向都存储数据,因此,二维码存储信息容量较大。二维码犯罪是犯罪分子利用二维码信息存储功能,在二维码中携带非法信息和使用虚假二维码替代真实二维码,通过移动支付功能实施犯罪的行为。二维码犯罪是一种新型网络犯罪类型,成为社会不稳定因素,严重影响了国家信息安全、经济安全和用户财产安全。
二维码犯罪除了具备网络犯罪的部分特征外,还具有其独立的特点。
1.制作门槛和成本低
二维码被不法分子疯狂使用,一个重要的原因就是制作门槛和成本低,甚者可以说是零成本。在网络上,通过百度搜索,能够免费下载和使用的二维码制作软件多达成千上万种。不法分子只需要在网上下载一个二维码制作软件,按照步骤提示把文字、图片、链接地址、病毒木马程度输入到系统中即可轻而易举地完成二维码制作,不需要制作人具有很高的技术水平。二维码不仅可以通过下载软件的方式生成,也可以通过在线的方式生成,生成方式变得更加简单快捷。操作简单,使用方便的二维码制作流程给不法分子实施犯罪提供了可乘之机,打开了方便之门。
2.危害范围广,危害程度大,以侵财为主
二维码能够存储大量信息,加载内容丰富,是重要的信息承载平台。信息可以通过仅占方寸之地的二维码进行展示。二维码处于人人都能制作和应用的混乱状态,不法分子利用二维码存储诸如虚假、邪教、恐怖等大量非法信息进行传播,对国家安全、社会稳定和用户个人合法权益造成侵害[1]。我国是世界上二维码用户最多的国家,用户数量占全球用户数量的90%。随着微信和支付宝用户的不断增加,我国二维码用户数量已突破10 亿。从二维码产业规模经济来看,目前已经达到了万亿级。二维码广泛应用使二维码犯罪造成的危害范围广,受众多,危害程度大。二维码本身不具有防伪能力,一些不法分子为了掩人耳目,在二维码中以存储合法信息为幌子,附加病毒木马、违法信息、非法程序链接地址等信息,侵害用户手机系统,盗取用户各种信息、财产和传播非法信息。由于载有非法信息或病毒木马的二维码从外观上和普通二维码并没有什么区别,广大用户根本无法辨识。在二维码所有犯罪类型中,主要是以侵害用户财产为主。根据对某省2017—2021 年涉二维码犯罪案件分析,侵财诈骗案件无论是案件数量上还是犯罪嫌疑人数量上都占较大比例,其中案件数量占比为54%,犯罪嫌疑人数量占比为61%。
3.传播途径广,传播方式便捷
随着智能手机和移动网络的普及,特别是阿里、腾讯公司大力推广,二维码得到了广泛应用。二维码携带方便,传播途径广,传播手段简单易行,不仅可以通过平面媒体,也可以通过手机、电脑网络进行传播。随着二维码算法的不断改进和提高,通过手机扫描二维码识别信息的速度更快,加速了二维码的传播应用。二维码便捷的传播方式使得超过30%以上的木马病毒和恶意软件伪装成二维码方式进行传播。二维码已成为手机木马病毒的主要感染渠道。
4.作案手段隐蔽性强,侦查管控难
不法分子利用二维码技术为中介平台实施各类违法犯罪活动,犯罪过程可以通过幕后操作完成,并不需要和受害人直接面对面接触,也没有传统犯罪的犯罪现场,隐蔽性较强。和进行实名登记的微信、支付宝、电话卡相比,二维码制作不需要实名登记备案。因此,匿名化的生成使用方式存在一定的安全和管理漏洞。在案件侦办过程中,无法对二维码制作者进行追踪溯源,使侦查常常处于尴尬局面。有些二维码可以长期使用,但有些用于社交、支付的二维码具有一定时效性,超过时效期就无法再使用。不法分子通过对二维码的使用期限进行设定,犯罪活动实施后防止被公安机关及时取证,逃避打击。由于目前缺乏二维码犯罪取证的软硬件,特别是对二维码进行文本化识别的取证设备。在对二维码取证过程中,不仅要对二维码图片进行固定,最重要的是要把二维码后端相关联的信息和应用进行固定。否则,二维码后端信息已经被修改或消失,失去了最佳的取证时间,使证据的原始性、客观性和关联性发生改变,所取得证据有可能不被法律认可。当不法分子利用这种类型二维码实施违法犯罪时,在对证据的认定上,失效二维码增加了证据取证和固定的难度,无法形成完整有效的证据链,使侦查工作处于困境状态,造成对二维码犯罪的打击效果弱化。
当用户扫描二维码,下载带有病毒木马的程序后,用户账户中的资金可能在极短时间内被转移到不法分子指定的账户中,然后又迅速被转移到其他多类型账户中,犯罪分子再用多种方式将骗取的钱财取出。不法分子的很多账户都是利用虚假身份开设。快速多层级的转账模式给公安机关的侦查和用户钱款的追回增添了困难。
1.在二维码中嵌入木马病毒,窃取用户财产
在腾讯公司发布的网络安全报告中,二维码成为移动终端主流病毒的重要传播渠道,大约占到了60%。2020 年第四季度,腾讯安全软件拦截恶意二维码超数量过24 万条。仅2021 年下半年,以二维码为载体的病毒木马数量每月新增约30.54 万个。二维码具有网络地址跳转功能。一些不法分子用二维码技术存在的漏洞,盗取用户的资金以及其他账户信息。通过二维码信息存储功能,将带有木马病毒或者吸费软件等恶意程序的网络地址链接生成二维码,通过商品促销、购物返现、赠送小礼品等噱头让不明真相的用户进行扫码。当用户利用移动终端扫描二维码后,会出现一条链接信息,提示用户进行软件下载或访问。一旦用户按照提示进行操作,就会对移动终端的使用安全和资金构成危害。例如,通过二维码植入病毒,在手机中的一些系统账户和密码会被不法分子盗取。这些恶意程序通常能够拦截和屏蔽用户手机的短信,使用户接收不到系统发送的各种验证码。然后不法分子利用非法截获的验证码对用户的手机系统进行非法操作,实现盗取信息或者资金的目的。带有病毒的二维码也能够便捷迅速的在微信、QQ、电子邮件进行传播,用户稍不注意,手机就会被中毒入侵。
2.利用二维码传播非法信息
不法分子通过二维码传播淫秽色情、宗教极端思想、暴力恐怖等非法信息,以此谋取非法利益或者达到不可告人目的。由于这些非法信息并不是直接存储在二维码中,而是隐藏在二维码背后的链接地址中,和非法信息通过视频、文字、音频直接进行传播的传统传播方式相比更加隐蔽,无法溯源制作人和传播人的特点降低了犯罪成本,成为了传播不法信息的新土壤。例如一些不法分子通过QQ、微信等通讯工具传播带有淫秽色情的二维码图片链接,供用户访问,以此谋取非法利益。
3.利用二维码非法转账
二维码作为便利的移动支付方式受到了广大用户喜爱。但与此同时,不法分子也在使用二维码为其犯罪活动进行非法转账,逃避资金监管和公安机关的打击。例如常见的赌博或者毒品交易类犯罪活动,以前大多是通过现金的方式进行交易,公安机关能够快速实现人赃俱获和固定证据。但是,在二维码被广泛应用后,犯罪分子通过微信或者支付宝等方式将资金转账给第三人,不用再携带大量现金,不仅能够更加隐蔽而且能够快速地进行资金收取,实现钱货分离。公安机关难以人赃俱获,增加了固定证据的难度。如犯罪分子陈某通过微信组建微信群,实施网络赌博违法犯罪活动,将收款二维码发送到群中,让参加赌博人员通过扫码的方式支付赌资[2]。
4.偷换二维码支付标识,骗取用户财产
不法分子通过各种手段和方式,将商家的收款二维码偷换成自己的收款二维码,使用户钱款直接支付到自己的账户中,达到骗取用户钱财目的。2018 年扬州市公安局接群众报案,自己商铺的收款二维码被人偷换,致使当天7000 余元的营业收入被盗取[3]。经过警方的缜密侦查,犯罪嫌疑人张某被成功抓获。通过审讯,这些作案用的二维码都是其通过使用不同的身份证件办理的,选择在人流大的商铺或者闹市区作案,偷换商家的收费二维码。特别是近年来,共享单车在各个城市的迅猛发展,其便捷的支付方式深受用户青睐。然而,不法分子也开始利用二维码快捷支付这一特点进行犯罪活动。他们将绑定自己账号的微信或者支付宝二维码把共享单车提供商的二维码替换掉,并且将二维码上的头像改成共享单车图标,达到以假乱真的效果。而在更高技术手段的犯罪活动中,不法分子通过在共享单车的付款二维码处粘贴带有假租车软件的二维码,诱骗用户进行下载。下载过程完毕后病毒和木马会被植入到用户手机中,盗取用户银行卡中的资金或者远程操作用户的手机。
5.利用二维码伪造缴费单
现如今,交警部门利用新技术手段,对违规停放车辆所开具罚单以电子打印通知单的方式告知车主。一些不法分子便利用这个新方式和一部分群众对告知通知单具体内容的不了解,伪造带有二维码的违章通知书,诱骗用户通过扫码的方式支付违章罚款。这种诈骗手法更具有欺骗性和迷惑性。2018 年,广州的陈先生在车辆挡风玻璃处发现一个带有支付二维码的违章停车通知单。陈先生开始以为是交管部门出台的便民新举措,但是经过朋友的提醒并和交管部门沟通确认后,发现竟然是一个骗局。不法分子诈骗手法形式多样,类似伪造通过二维码付款方式缴费的水电费、燃气费骗局在上海、北京、深圳等多地也曾出现。
由于二维码属于网络时代的新生事物,在我国发展时间较短。因此,二维码应用基本上是处于失控和无序的管理状态,监管力度和其快速普及应用不匹配。二维码监管缺位、监控不力、管控弱化是二维码犯罪活动日益猖獗,犯罪行为屡屡得逞,犯罪手段层出不穷、防不胜防的主要诱因,成为二维码行业健康发展的掣肘。虽然二维码技术含量高,但是开发门槛却很低,编译和发布程序基本开放。二维码的下载、制作和发布有多种渠道,没有受到任何规制,任何人都可以不受限制的从网络中下载时使用。不法分子对其进行利用从事非法活动并非难事。没有相应职能部门或机构对二维码应用安全性、合法性进行监管审核和认证。监管部门无法通过后台全面对二维码所包含的内容进行识别和监控,存在一定的监管盲区和溯源死角[4]。一些二维码制作平台对二维码内容和使用情况把关不严,审核不规范,给一些别有用心的人利用二维码进行违法犯罪活动创造了条件。完全开放的应用市场模式使二维码应用安全事件频发,垃圾广告、病毒木马、恶意程序、非法政治宣传都可以通过二维码迅速传播。由于对二维码生成无法进行溯源追踪,更加剧了不法分子肆无忌惮的使用二维码生成器实施违法犯罪活动。
通过扫码进行移动支付是一种常用的支付手段,也是不法分子进行二维码犯罪的常用方式。我国是移动支付应用最广泛的国家。二维码作为重要的移动支付入口,虽然我国于2016 年颁布了《中华人民共和国网络安全法》、2016 年12 月、2021 年6 月先后两次出台了《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》、2017 年12 月出台了《条码支付业务规范》等多部关于网络安全、电信犯罪治理与二维码支付的法律和规章制度,取得了可喜的战果,但却没有针对性的法律法规对二维码整体应用进行法律规制,没有来自国家强制力保证二维码的安全性。二维码行业的快速发展和用户合法权益法律保护之间的矛盾日益突出。对于二维码犯罪只能引用《中华人民共和国刑法》《中华人民共和国网络安全法》《中华人民共和国侵权责任法》等相近法律,影响了对二维码犯罪的惩治效果。因此,二维码快速发展所带来的安全隐患在一定程度上是由于法律制度滞后导致的。与二维码相关的法律条文和法律位阶法都无法对二维码犯罪实现有效的规制。法律制度的滞后性和不完善,导致一些不法分子铤而走险,投机取巧,钻法律漏洞。在治理过程中出现监管部门无法可依、无章可循或者有法难依情况,使一部分不法分子逃脱了法律制裁或者受到较轻的处罚,起不到震慑作用,侵害了用户的合法权益,也加剧了安全风险滋生。
二维码扫描软件的安全性关乎用户手机信息安全。由于软硬件系统发展的局限性,手机系统的安全防护仍然存在着一定的安全隐患和漏洞。一些二维码扫描软件不具备程序过滤和安全识别能力,无法对木马病毒和恶意网址鉴别进行安全识别,给不法分子实施犯罪提供了可乘之机。更有甚者,一些二维码扫描软件本身就带有病毒,导致用户财产受到侵害。并且信息交换过程中存在信息被劫持和篡改的可能性,导致安全性也无法得到有效保障。例如对于包含有链接地址的二维码,扫描软件在扫描该码时要调用浏览器的解析引擎,此时如果浏览器缓存存在安全漏洞,不法分子就会利用漏洞植入恶意代码,获得手机系统的最高root 用户权限,实现远程控制或者盗取信息和资金。
二维码安全使用问题的主要原因是安全机制不健全,没有建立起行业统一规范的标准体系,没有形成完善的顶层编码和解析体系,没有建立有效的管理制度,对二维码的安全使用监管没有相应的指导方针和协调机制。目前国内使用的二维码数据结构类型具有多样性,由不同厂家根据自己的标准自行定义,同时需要不同的解析软件进行读取和识别,造成数据无法实现共享共用,二维码产业聚集效应无法形成。二维码标准体系整体上处于散、乱、小的状况。一些二维码的核心技术来自国外,存在技术后门的安全隐患,并且面临技术性卡脖子的风险。例如目前我们所使用的二维码制包括QR(Quick Response)码、DM(Data matrix)码和汉信码等,码制标准不统一导致二维码生成和解析结果的差异化和多样性。用户在对不同码制格式或进行加密后的二维码扫描解码时,可能会出现一定的问题。即便二维码加载的信息是安全合法的,但是由于不同的解码规则和扫描软件解析方法不同,可能会导致安全数据被误认为是恶意或非法信息。
在今后相当一段时间内,二维码犯罪活动和安全风险会持续性存在,诈骗手段依然会复杂多样。为了能对目前乱象丛生的二维码行业正本清源,在对二维码犯罪的治理过程中,各职能部门必须依法治理,将其纳入法制管理轨道[5]。完善的法律法规是二维码产业健康运营的根本,同时也是促进二维码管理法制化、规范化的重要保障。根据目前二维码犯罪的形式、手段和造成的社会危害,与二维码有关的各项法律要与时俱进,不断健全法律体系,完善法律制度,弥补法律缺失漏洞。
1.细化法律条文
二维码作为科技产物,不法分子利用其进行犯罪所要承担的各项责任相对比较宽泛,还需在法律层面上进行细化研究。从具体的司法实践上来说,各司法部门的量刑标准,定罪意见也存在一定的争议和困惑。例如对通过偷换二维码骗财这一违法行为定性,存在盗窃、诈骗等不同的法律适用争议,可能会出现案件量刑不统一的情况发生[6]。所以,要明晰二维码犯罪适用的法律属性和罪名,制定具有规范可操作性的量刑和证据标准,消除认知上的模糊地带和同案不同判现象,对二维码犯罪治理做到有法可依,有据可循。为了提高二维码法律实施的可操作性,最高人民法院可以适时出台相应的司法解释和典型性案例,对二维码法律规范化实施进行细化和指导,达到深化法律规则的效果。
2.完善规章制度,建立二维码标准化体系
在2018 年2 月1 日实施的《商品二维码》国家标准中,对商品类型的二维码数据结构和信息服务等进行了标准化的统一规定。所以,可以考虑对《商品二维码》规章进行完善和扩展,将非商品类的二维码纳入其中进行管理,并修改为《二维码内容管理规范》国家标准。对所有二维码的编码类型、码制、扫描软件、安全认证、身份信息等进行统一标准化的制定,使国内使用的所有二维码标准规范统一。标准化体系的建立能够规范二维码链条中制作、发布、应用各个过程,增强二维码的安全性,规范市场秩序,杜绝行业乱象,为二维码安全应用、广泛推广和管理服务提供制度保障。
3.加大对二维码犯罪的惩处力度,提升违法成本
在涉二维码犯罪类型中,侵财类类型较多,大部分都是以牟利为目的的犯罪。对通过二维码进行违法活动的组织和个人,除承担相应的法律责任外,还要受到经济处罚。虽然在司法处罚过程中,有一定的处罚金额,但是处罚力度和其高收益相比,不足以起到震慑作用。在罚金刑适用的基础上,进一步提高处罚数额,提高违法犯罪成本,让不法分子在高额违法成本下不敢轻易实施犯罪。同时由于二维码犯罪的高发性和对用户财产和社会稳定破坏性大的特点,在立法过程中将考虑其因涉网络犯罪因素,视为加重处罚情节,加大法律处罚的力度和震慑力,减少案件发生率。
1.明确监管职责,进行规范化管理
二维码犯罪活动不仅会对用户的合法权益造成侵害,而且还严重干扰二维码行业的健康发展。在二维码整个产业链中,明确监管主体,明晰监管职责,才能建立行之有效的二维码产业监管体系,建立全链条整治工作机制。根据二维码犯罪过程中出现的监管盲区和责任死角,要始终坚持问题导向,各相关职能监督部门和二维码运营有关的企业要做到守土有责、守土尽责,优化管理。公安机关和相关网络信息监管部门进一步加强和改进对二维码犯罪信息的监控巡查和处置机制,加强监管,出台二维码制作、发布与使用管理规定,定期发布二维码使用安全警示,第一时间发现和清理违法二维码,及时纠正在管理过程中出现的各种漏洞。对具有制作和发布二维码功能的软件公司和网站实施谁制作、谁发布、谁负责的管理模式,使其切实承担起二维码安全管理职责[7]。银监部门加强二维码扫码支付的审核力度,防止洗钱和非法转账等非法资金交易。如有发现,应立即和公安机关联合办公,进行严厉打击。公安机关、工商部门和信息管理部门联合建立一个二维码服务平台,能够为企业和广大用户提供查询和投诉等服务。建立责任追究制度,对因不落实监管职责、监督不到位,不承担企业相应主体责任的相关人员进行追责问责。因对二维码管理不善,导致二维码受损或者被非法更换造成用户受损的,二维码持有主体应承担相应的连带责任。例如因商户自身原因导致二维码被更换或破坏,用户产生的损失由商户赔偿。责任追究的建立不仅能够促进二维码持有主体加强对二维码的管理,而且在一定程度上也保护了用户的合法权益。
2.各方协同配合,加强二维码综合治理
二维码应用乱象的治理是一项系统工程,不仅需要各相关职能部门的密切配合,常抓不懈,而且还要充分发挥广大人民群众的力量,实现社会各方力量的共治,形成综合治理的良好局面。统筹协调各方力量,多部门联动,倡导全民参与,建立相互协调、相互配合工作模式,要拧成一股绳,打好管理的“组合拳”,把握二维码治理的主动权。实现跨行业和地域不同管理部门的快速联动,通过政府职能部门、银行监管机构、网络服务商、运营商以及社会广大人民群众力量形成全方位、多维度、立体融通的管控局面。通过各方协同配合可以实现各部门间的握拳成指,精准打击,提高二维码管理整体能力和安全防范能力。协同监管配合不仅是同行政级别间不同监管部门的横向配合,而且也包括上下级别间相同部门的协同监管。
3.加大对二维码管控,强化源头治理
要想推动二维码产业可持续的健康发展,必须加强顶层设计规划,实现二维码的安全、规范、可控,有效推动二维码产业的健康有序发展,肃清二维码乱象,为广大二维码用户建立安全便捷的使用环境。
一是为二维码生成设定门槛。为改变二维码生成机制无限制零门槛的现状,从源头上建立严格的监督审核把关体系,严把生成关。出台二维码从制作、发布到使用的统一规范,完善技术标准和行业标准,使二维码更具有统一性和兼容性。特别是严格规范二维码制作,增加造假的难度和成本。制作者在生成二维码时必须提供真实的身份认证。个人提供身份证信息,企业、商家提供营业执照实行实名登记,实现人、证、名的三统一,确保人员信息的真实性和完整性,把虚假二维码扼杀在源头。数字签名可以对二维码制作者信息进行源头查询,使想利用二维码犯罪的人员产生敬畏。
二是加强对二维码的源头管控力度。建立一套二维码信息管理系统,所有要发布的二维码必须要输入到管理信息中,经过检测、审查、过滤后才能发布,在发布的二维码中显示“该码已被安全检测,可以放心使用”的信息。对运行的二维码状态进行监控和预警,发现有可疑交易、可疑信息发布二维码进行重点监控,对含有违法违规内容的二维码立即进行溯源查找并向公安机关报案,同时固定好相应的各项证据。系统的建立不仅便于责任追究,而且也方便用户辨别二维码来源是否合法合规。二维码产业链包括二维码码制标准、二维码制作软件、二维码解码软件、识读设备等。只有保证产业链条中每个组成部分都安全,二维码的应用才会安全。对二维码产业链中企业产品和服务实施安全认证制度,并建立企业和产品的黑名单,从源头上保证二维码应用和服务的安全性。对产业链条实施全面精准治理,对来自二维码的非法链接、木马病毒和违法信息进行智能监控、自动拦截和及时提醒。
4.加强网络平台对二维码安全应用管理
网络公司和支付平台,应建立一个适当的延时支付程序。当用户通过二维码进行支付资金时,可以先将支付的资金存储到安全的第三方平台中,经过设定延时时间无问题后再将资金汇入到收款方的账户中,保证用户财产受到侵害时能够在一定时间范围内进行拦截或者追回,将损失减少到最小。支付平台可以通过使用动态变化二维码支付、禁止对支付类型二维码截屏等相应技术手段,防止不法分子利用网络远程获取受害人的付款二维码,盗取用户资金的事件发生。软件应用商店加强二维码制作和扫描软件监管,建立长效安全检测机制,确保所提供下载软件使用的安全性,并将软件的安全等级显示在下载页面中,引导用户下载和使用安全级别更高的软件,化解安全风险。腾讯公司及其他媒体要加大对二维码传播渠道监控力度,防止非法二维码的肆意传播。
1.提升二维码应用软件安全防护能力
互联网安全企业承担起保护用户合法权益的社会责任,为广大二维码用户提供安全可靠的软件和服务,加快安全新技术研发力度,让犯罪分子无空可钻。提升二维码制作软件和扫描软件的防篡改功能,通过数据加密解密技术、数字签名技术和认证技术的使用,利用增强反编译功能对软件进行加固,保证用户在扫码、传输、核对信息等各个二维码使用环节的安全性,防止信息在传输过程中被不法分子截取或修改,保护二维码自身和用户安全。在加密算法选择上,可采用安全性高、应用广泛的RSA 加密算法对二维码中的各项信息进行加密,保证扫码时二维码中个人信息、商业秘密免受不法分子侵害。完善恶意二维码云端数据库,将国家二维码应用安全标准、安全检测测序嵌入到扫描软件中,使扫码软件具有自动安全识别功能,对二维码中的恶意软件和恶意链接、非法信息自动向用户提示和屏蔽,同时去除链接自动跳转功能,对可疑二维码自动上传到云端数据库中。
2.向用户推荐安全性高的二维码码制
目前我们所普遍使用的二维码制是日本2000 年开发的QR 码,属于开源码,技术标准已落后,存在信息泄露的风险和安全隐患。我们应该加大二维码安全使用研发力度,广泛推广使用我国具有知识产权纠错能力和保密性强的汉信码二维码码制,保护用户的信息和财产安全。
1.加强案件线索收集能力
对于二维码等非接触性的犯罪,公安机关应在传统侦查手段基础上,与时俱进,拓展侦查思路,主动发现涉二维码犯罪案件线索,收集相关信息。
一是公安民警要进一步熟知二维码的基本理论知识和传播、解码原理,掌握常用的二维码犯罪流程,在工作中注意发现二维码犯罪苗头,及时准确取证和固定证据,为侦查工作的开展做好铺垫。
二是深化警企合作。公安机关应和腾讯、阿里、银联等机构联合,利用其专业人才和技术优势,提升在二维码犯罪的情报收集、分析和取证方面创新能力。通过云计算和大数据技术对二维码背后异常的文本信息、链接地址和资金交易进行多维度的数据碰撞和挖掘分析,对二维码交易后台进行实时监控,第一时间掌握交易信息,发现异常情况能够及时跟踪和拦截,及时止付,实现对非法交易的全过程、全方位的打击。
三是除了依靠公安机关自身侦查获取线索外,还可以通过建立网络特情、向社会有资质的电子取证企业购买服务等方式,突破自身的侦查技术瓶颈,提升对二维码犯罪活动侦查和反制的能力。
四是充分发挥社会各界的监督作用。为了及时更多发现二维码犯罪线索,除了监管部门充分发挥监管职责外,还应调动包括二维码行业、新闻媒体、网民和社会民众等诸多社会各界的监督力量,实现多元化和全方位的监督效果。然而,实现有效监督的最重要途径就是建立完善的举报机制,保护举报人的人身安全、畅通举报渠道和建立奖励制度,让举报人敢举报、能举报和想举报。同时监管部门要及时对举报线索进行核实,举报属实要立即查处,并给举报人进行反馈,增强举报人的举报积极性。
2.加大二维码犯罪的打击力度
在对二维码犯罪严厉打击过程中,要充分发挥公安机关治理犯罪主力军作用,主动出击,强化打击力,打出声威和成效。
一是强化公安机关内部不同警种间的协作。在打击二维码犯罪活动涉及网警、刑侦、经侦等不同警种,需要建立多警种联勤联动机制。公安机关内部各部门要充分认识到打击二维码犯罪的紧迫性和重要性。通过不同警种间的密切配合,实现线索发现、追踪调查、资金追回、人员抓捕[8]。
二是加大跨区域间的警务协作力度。目前二维码犯罪在全国范围内分布并不均匀,有些地区属于高发区,如广东省、江苏、上海等经济发达地区,而有些经济发展欠发达地区,如西部的西藏、新疆地区发案率相对较少。但是随着互联网技术发展和信息交流的便利性,西部地区的发案率也会随之增加。因此,各地之间应建立二维码犯罪信息交流共享制度。发案率较高省份公安机关应该将犯罪分子常用的作案手段、打防管控的先进经验和做法、案件侦办过程中使用的相关技术等和其他兄弟省份进行共享共用,加强沟通交流,共同提高打击犯罪效能。在公安部、各省公安厅的协调领导下,以打击犯罪,维护社会和谐稳定为目标,加大省级、市级跨区域警务协作、破除地方保护主义。
三是开展打击专项活动。严厉打击二维码犯罪,通过开展二维码犯罪专项治理活动,能够在短时间内有效遏制二维码发案率,提高打击效果,起到敲山震虎、震慑犯罪分子的效应。同时深度剖析二维码犯罪根源,发现二维码应用中的各种漏洞,积累会战经验,为后续打击和防范二维码犯罪提供支持。
3.以科技创新为驱动,推进执法效能提升
一是执法创新驱动。公安机关要通过科技手段进行在执法方面的创新驱动,提升执法效能,加大执法力度。通过自研或者和互联网高科技公司的合作,研发与二维码犯罪侦查、取证相关的软硬件,实现对二维码相关数据的高效取证和检索。二是归纳总结,提炼战法,固化经验,制定二维码犯罪案件办理的执法规范。三是创新监管模式。监管模式也必须随着监管对象的发展而不断改进创新。公安机关应提高监管的专业性和高效性,将诸如大数据、物联网、云计算等各种高科技新技术应用在对二维码的监管上,建立全国统一从上而下的监管网络,信息共享共用,实时掌握二维码主体的动态信息。
1.大力开展二维码安全应用宣传教育
在社会中利用电视、网络、报纸等各种媒体广泛开展二维码安全使用知识和防骗宣传工作,增强二维码犯罪常见手段和案例的宣传教育力度,特别是对老年人、学生等人群重点宣传。通过以案说法,用真实案例让广大人民群众了解犯罪分子使用的诈骗伎俩,认清二维码犯罪的陷阱,识别二维码犯罪的各种套路,提高自我防护意识和应对措施,保持警钟长鸣,引导用户理性安全使用二维码。例如:一些不法分子利用公检法机关名义进行二维码诈骗。公安机关向广大用户提醒:根据公安机关各项工作管理程序,从不要求当事人向公安机关或者所谓的安全账户转移资金。遇到此类情况,用户应擦亮眼睛,不进行任何资金转账操作,并及时报警。
2.提高用户的安全防范意识
二维码犯罪发生的原因是由于用户防范意识不强,存在随意扫描的情况。不管不法分子利用二维码进行犯罪的手段如何千变万化,但防范手段万变不离其宗[9]。用户在扫码前要看清,确保二维码来路是否正规,对来路不明的坚决不能扫码,不随意转发二维码。例如,在常用的共享单车使用上,用户应该到正规的软件应用商店下载APP,最关键的是在扫码前一定要认真辨别单车上粘贴的二维码有没有被更换、涂改或者覆盖的情况。扫码后要三思,出现要求立即付款、跳转到其他链接地址或者要求下载其他程序的,务必立即引起警觉,小心谨慎,中断后续操作,并及时和官方客服联系。用户在进行二维码扫码支付时,向商家确认后再支付,避免向假冒收款二维码支付。当用户因操作不当,财产受到侵害后应立即报警,防止受到进一步伤害。为了使财产损失受到最小伤害,与移动支付进行捆绑的银行卡内不要存放较大数额的资金。为了更加智能识别带有危险因素的二维码,用户应在手机中安装防病毒和木马软件,帮助用户识别可疑信息,并给出相应的安全提醒,使非法二维码无所遁形。当用户发现异常情况,应进行查杀和停止使用。用户通过扫描二维码的方式安装软件,在安装成功后应首先利用安全软件进行扫描,确认无问题后再打开使用。