微信掃一下二維碼,就可以買衣服、買飲料、買優惠券……甚至還可以相親?!小小的二維碼包羅萬象,而隨之衍生的“微信掃購”等掃碼購物方式也因夠潮、夠酷,在都市潮人中大為流行。
然而,在二維碼給廣大“掃購族”帶來更優質、便捷購物體驗的同時,一些不法分子也從中看到了“商機”, 他們將PC端的諸多詐騙手段如法炮制,移植到移動端。最近國內就爆發了多起類似二維碼釣魚騙局,“買家”在阿里旺旺發送二維碼,稱讓淘寶店主掃描看“款式”,其實已暗藏木馬程序,進而修改支付寶密碼并侵入賬號盜竊。因此,有安全專家建議,不要輕易掃描不明來源的二維碼,并選擇具有安全功能的掃描軟件,如微信掃碼。
“微信在二維碼掃碼體驗上已建立了一套系統的安全機制,用戶可以放心使用。”微信相關負責人介紹,用戶通過微信掃描二維碼所訪問的網頁,微信都會給出一個鏈接安全或者不安全的判定,來幫助用戶把好第一道安全關。
微信“掃一掃”明辨真偽
二維碼本身并無病毒,其病毒主要是二維碼掃描結果中的下載鏈接和下載文件可能被提前植入了木馬或病毒,用戶一旦打開鏈接或者安裝應用,手機就會中毒。近年來,類似“掃了一個網友發過來的二維碼,結果點開鏈接就中毒了”的吐槽,在微博、論壇、朋友圈中時有出現。
而目前市面上絕大部分掃碼工具都沒有配備完善的安全機制,只是給用戶提供一個便捷的鏈接入口,只要是二維碼就可以掃描,并且掃描時不會有任何的安全提示。微信掃描二維碼則不同,基于騰訊大數據的支撐,用戶通過掃描二維碼訪問網頁時,微信將判斷該網站是否屬于數據庫白名單,如果網址在白名單上,則用戶可以直接訪問;如不是則會被判斷為非安全網址,用戶則需通過二次確認才能進行訪問。據了解,該白名單中的所有網址,均經由人工審核確認,確保安全。
如果某個網址被系統判定為不安全網址,用戶將無法通過掃描二維碼訪問,而不安全網址庫則始終保持動態更新。截止目前,微信已擁有千萬量級的不安全網址庫,在業界屬于領先水平。
此外,某些報道中指出,掃描二維碼會自動下載木馬。實質上這種場景在微信中是根本不可能實現的,因為微信內置瀏覽器已經禁用了下載文件功能,用戶無法在微信內置瀏覽器內下載并安裝任何文件,更不用說下載木馬。
虛假網站時刻預警
當你的微信好友發來一個鏈接,并提出“幫忙參考”、“幫忙投票”等貌似非常合理的請求,你是否會想也不想就點開?針對此種情況,微信采用了自動觸發提醒,當用戶給他人發鏈接時,系統也將同時給對方發送安全提醒。同樣的,當我們掃描一個未經認證,來源不明的二維碼時,微信的警告提示界面也會馬上打開,及時提醒用戶。
即便用戶在PC端登錄網頁版微信,在打開外部鏈接時,也會收到微信發出的安全提示,提醒用戶不要在第三方網站隨意泄露自己的賬號信息,可謂是考慮周全,面面俱到。
認準"微信支付安全標識"保障交易安全
微信支付上線三個多月以來,獲得眾多用戶支持。據悉,目前接入微信支付的商戶帳號均需要經過嚴格的審核,要滿足多項審核條件才可獲準接入。此舉一來可確保接入微信支付的商戶經營范圍的合法性,二來也為用戶的交易安全提供了更有力的保障。需要特別提醒大家的是,在使用微信支付結算時,要認準交易中每一步都應該有的微信支付標識(如下圖紅框處),保障自身交易安全,避免被不法分子偽造的微信支付蒙蔽、欺騙。
通過對比以上案例我們其實可以發現,掃碼并不會導致個人財產損失或手機被安裝惡意軟件。要造成損失,必須是經過用戶繼續參與,比如用戶在釣魚網站輸入個人信息、銀行賬號,或者用戶安裝了下載到的惡意軟件。
二維碼給人們的輸入帶來了諸多便利,其本身也不存在危險,但釣魚網站和惡意軟件的制作者,往往會在網頁上花言巧語,或者偽裝成正規網站,哄騙網友輸入個人信息或下載惡意軟件。這時候,二維碼掃描軟件的安全檢測能力就顯得非常重要。遺憾的是,除了一些專業的安全產品,市場上大部分的掃碼軟件并沒有類似微信這樣的多重防護措施,它們中的大多數都僅是做單一的掃碼而不負責安全。
而事實上,除了掃碼安全保障,目前在微信上已經形成了一套完整的安全機制,包括敏感信息提醒、異常終端判斷、隱私設置、惡意帳號舉報、黑名單設置等等。這樣就為用戶構筑起立體化的財產和個人安全防護體系,保障用戶隱私、財產和在線溝通安全。
(新聞稿 2013-11-21)