【二维码&涉二维码犯罪】

平淡水的平凡 2017-03-29

展开全文

来源：网安杂谈（ID：sdpcwa），原创：张璇山东警院

二维码是用某种特定的几何图形按照一定规律在二维平面排列的可读性数据符号信息。本质是一种信息传播的载体。链接、图片、文字等等。二维码的应用场景越来越多，我们经常扫一扫二维码，就可以用来浏览信息、添加朋友、身份验证、支付等等应用。

相比网页浏览点击链接的方式，“扫一扫”确实非常方便便捷，童叟皆宜，并且二维码本身信息容量大、纠错能力强、稳定性好、应用范围广、可加密、译码可靠性高等特点。二维码的识别不再依赖于专门的条码扫描仪，用手机摄像头与二维码扫码软件配合就能生成信息识别，简单灵活，这也是二维码能够快速普及的最大原因。然而，近来涉二维码的犯罪也随之风行。究其原因是大家对二维码的原理机制不甚明了，方便快捷的同时，也隐藏着危机。下面我们就一起来看看目前涉二维码犯罪的主要类型，二维码原理和其信息的提取分析。

一、涉二维码犯罪的主要类型

（一）携带非法信息的二维码

以优惠活动等名义，不法分子将木马程序、扣费软件等植入二维码，消费者扫码被盗刷。还有一些嵌入涉恐信息等内容。

（二）支付二维码被利用犯罪

这部分犯罪主要利用的是支付功能，主要分线上和线下支付两部分。二维码支付一度在2014年被叫停，2016年央行向支付清算协会、银联发函确认二维码支付地位。但支付二维码相关的犯罪越来越多。目前主要有以下几类：

1、骗取付款码

骗取受害人付款码，但目前微信支付宝新版本的付款码都不支持截屏了，一定程度上避免了此类案件发生。但是还有人拍照发给骗子那就真是没有办法了。

2、刷单诈骗中的在线支付环节

骗子让受害刷单时通过二维码进行支付。这种二维码往往是骗子专门买来的。

3、线下支付相关

有些线下商家申请微信和支付宝收款，那么只要拿起“扫码枪”对准客户出示的二维码扫一下，就能收到货款了。但申请的流程复杂。以申请微信支付为例：要拥有一个公众号，而且是服务号，这个公众账号还要通过微信认证，微信认证要上传的那一系列资料，支付宝支付也是同样复杂，而且两者都需要缴纳0.6%的费率。

A.利用业务逻辑漏洞

例如下面这个案例：http://mp.weixin.qq.com/s/qrdimqtoBmJxjlMN8xiIzw

骗子到底是怎么实施诈骗的呢？主要犯罪手法我完整的放出来大家体会下：

第一、他先去小芳的烟酒店里买一包25元的芙蓉王，得知了小芳收款微信使用的微信昵称是“小芳烟酒店”。

第二、出门后，他将自己其中一部手机中的微信昵称迅速改为“小芳烟酒店”，回来再要价格更高的商品。

第三、当小芳搬出茅台酒后，他以倒水为由分散小芳的注意力，迅速用另外一部手机扫描自己刚才设置好昵称的微信付款码，输入“7800元”的应付金额，并完成支付。

这样，虽然在小芳看起来，他也在按程序支付，但实际上这7800元钱并没有支付给小芳，而是支付给了他自己的另外一部手机。由于微信面对面收款支付成功页面只显示微信昵称和金额，所以小芳核对的时候，只看到了和以往一样的页面，根本不知道这些钱根本没有到他老公账上。

这种案例就要求三方支付平台在业务逻辑上进行不断改进。

B.商店线下支付二维码被替换

媒体曾报道广州的案例，商店的支付二维码被替换，钱款都进入了嫌疑人账号中。

C.共享单车二维码被替换

D.假冒交通违章、催缴电费通知单

二、二维码原理

二维码之所以叫“二维”码，是因为其二维平面排列的可读性数据符号信息。

我们对比下一维条形码和二维码就明白了。下面是一维码，也是我们俗称的条形码。条形码的编码规则五花八门，有数十种之多。

我们可以自己生成条形码，通过一些工具和在线平台，填入信息即可http://www./webapp/barcode/index.aspx

国外对二维码技术的研究80年代末就开始了，其中常见的码制有PDF417，QRCode，Code49，Code16K，CodeOne等20余种。目前得到广泛应用的二维码国际标准有日本QR码、美国PDF417码和DM码。那我们经常用的哪种呢？比如下面这个是本公众号的二维码。它有一个非常显著的特征就是图的三个角有三个小方块。是的，这就是广泛使用的QR码。

QR Code全称QuickResponse，QR码可以支持所有类型的数据。（如：数字、英文字母、日文字母、汉字、符号、二进制、控制码等）。一个QR码最多可以处理7089字(仅用数字时)的巨大信息量。是由日本条形码读取机研发的DENSO WAVE INCORPORATED（当时属于现在的DENSOCORPORATION的一个事业部）发明的。1994年，DENSO WAVE INCORPORATED公开了QR码。尽管DENSO WAVE INCORPORATED拥有QR码的专利权，但针对业已形成规格的QR码，公司明确表示不会行使这项权利。标准规定的QR码码制已进入公有领域，按照ISO标准及我国GB/T 18284标准，生成QR码或识别读取QR码不再需要获得Denso公司的专利许可。但是，Denso Wave公司仅仅开放了二维码编码技术的专利权，其拥有的二维码识读设备专利却并没有进入公有领域。近期腾讯与银河联动因为二维码专利对簿公堂（http://www.jiemian.com/article/1167739.html）。

我们可以对照下图来看我们自己的二维码图代表什么。

注：示意图来源http://blog.csdn.net/u012611878/article/details/53167009

好了，现在大家可以试试，支付二维码也是采用QR码的。我们要付款的时候，通过支付宝或者微信可以让商家扫付款码，要收款的时候，可以提供收款码。当然银行也已经加入了二维码支付的大战，以后的支付二维码来源将更加复杂。

三、二维码信息提取

二维码方便，但是远不如url直观，从表面上看不出来到底携带什么信息，这样我们就要借助工具来读了。我一向主张二维码不要上来就扫，最好用解码工具还原一下。

百度一下就会有很多的二维码生成和解码工具。

选一个你喜欢的就好。

我比较习惯用草料网的，功能比较丰富。

我选了一个案例的二维码看一下，发现什么了？原来是一个恶意文件链接放到二维码里了。我们扫一扫的结果，就将是跳转到恶意文件的下载地址了。

那么支付二维码如何解析呢？支付二维码不止支付宝和腾讯，还有很多家，不可能都用支付宝和腾讯去扫，也不建议大家直接去扫。

还是用解码器先做一个初步判断。下面这个一个刷单诈骗的假京东网站，这个二维码已经被支付宝处理过了，不能再转账了。那么我们用解码工具分析下试试。

扫出来是这样的结果：

那么，你懂的，这是支付宝的支付码咯。后面这串数字就对应了收款用户信息，但想仅仅从这串数字知道对方是谁，那只有支付宝知道了。如果二维码仍然有效，那么可以先转个一分钱试试。

那么这个结果，大家一眼就看出来了吧，微信的。

那天逛街，在街头小店看到这种支付码很多，支持多个商家的。于是随手拍了下。

解码的结果是这个：

那我们现在知道了，这个是叫通联支付公司提供的一码多付服务。一码多付顾名思义，就是一个二维码可以支持一码支付也就是同一张二维码同时支持微信、支付宝、银联等支付工具扫码付款。一码付平台的大致原理，其实在微信支付或者支付宝都是以企业资质申请的服务商（两者对于服务商都有分润，大致在0.2%--0.3%之间），用户付款，是直接付给了一码付的微信支付或者支付宝商户号，一码付再结算到你的银行卡。现在线下商家比较喜欢的原因是这种方式支持信用卡支付，资费也比较便宜。但是安全性如何？有没有很好的监管？还真值得探讨。