二维码支付风险特性及安全策略研究

         近年来，在互联网发展的浪潮中，智能移动设备迅速崛起，深刻改变了用户的行为模式，也使得非现金支付方式广泛普及，这一过程中不断衍生出了各式各样的新型移动支付模式。作为电子商务活动中支付媒介的创新表现，二维码支付成为广受用户青睐的支付工具，也逐渐在人们的经济生活中占据着重要的地位，然而如何使二维码支付技术在安全可信的状态下满足商家和用户的线上与线下的交易需求，成为当前亟需解决的重大课题。
一、二维码支付的风险特性分析
（一）二维码生成机制形成的风险隐患
由于二维码技术使用的准入门槛低、技术要求不高、制作简单，致使市场上充斥着扫码支付的普遍现象。由于缺乏统一的技术标准和监管门槛，不法分子利用二维码技术招摇撞骗，而普通用户又难以辨别其真伪。一方面，发布者在二维码中注入病毒。二维码的储存空间大，发布者可以随意在二维码中注入简单的木马病毒代码，只要用户扫码就相对于将木马病毒下载在移动终端中，并自动运行，将用户的现金账户一扫而空。另一方面，发布者在二维码中植入钓鱼网站。与木马病毒相比，钓鱼网站的危害相对较小。如果用户对所扫码的二维码中钓鱼网站缺乏警惕意识，将个人的账户信息输入所打开的网站，同样可以是用户造成不可挽回的资金损失。
（二）个人交易信息传输中存在的风险隐患
客户通过扫面二维码，移动终端将对二维码进行读取和分析，并要求客户输入账号、密码、验证码等信息。输完个人信息后，移动终端将所录入的信息传输到第三方支付机构或金融机构的后台机构进行信息的交换。但在交换的过程中难以确保信息传出的过程不受到外界的攻击或信息的完整性。毕竟移动终端不能像U盾一样有确保账户资金安全的电子证书或秘钥。个人信息可能在传输的过程中受到黑客的攻击将资金转移；或个人对方的接收账户被修改，从而造成资金损失。
（三）二维码媒介处理过程中存在的风险隐患
个人信息的外泄是个人隐私被侵犯的主要原因。二维码的体积小，容量却大，如今很多电子客票开始普及，用户如果对使用过的二维码处理不当将很可能造成信息外泄。例如，一些不法分子通过拾取他人丢弃的登机牌，获取他人信息、侵犯他人隐私。更为高级的不法分子通过扫描他人扫过的二维码，未经对方授权允许，直接搜索对方的手机内存和文件，打开对方所打开的网页并跳转至相应的网站，获取他人信息、侵犯他人的隐私的现象也普遍存在。
（四）扫码过程中无线网络存在的风险隐患
用户在进行扫描二维码时所利用的支付通道主要是无线网络（Wifi、Edge、4G等），无线网络成为当今互联不可或缺的基础设施。扫码过程中对无线网络的依赖，要求人们要对支付过程中存在的安全隐患要更加的警惕。尤其在一些公共场所所提供的无线网络极易被黑客攻击，用户的账户信息极易泄露，致使用户受到巨大的经济损失。通过无线网络的扫码支付的安全性有待提高，具体表现在可认证性、保密性、充分性、可靠性、相关性等方面。
（五）终端设备性能差所引发的风险隐患
扫码过程中对设备的依赖很大，终端设备的性能可靠性对扫码过程中的安全保障起到第一防线的作用，而扫码对终端设备依赖性最大的是摄像头和操作支持系统。当前我国绝大部分的智能手机的摄像头没有带变焦的性能，然而带变焦的智能手机的摄像头，对10厘米或10米以外的扫码功能也没有做更多的优化，致使大部分手机不能扫出二维码的内容或扫错二维码的内容，这样，很可能对使用者造成不必要的麻烦甚至造成经济损失。
二、提升二维码支付安全性的策略建议
（一）健全二维码支付的市场准入机制
针对二维码支付过程中存在的信息和资金的安全问题，监管部门应该制定出相应的法律法规制约二维码滥用的现象。首先，对于厂商是否适合使用二维码支付，可以从商家的注册资本、业务经营范围、经营规模、企业信誉度和知名度等方面进行考虑。其次，对于允许使用二维码的企业进行检验，做出安全评价，同时企业应缴纳一定的信用保证金或购买支付保险来保护用户的利益。再次，参与支付的第三方金融机构要对商家的资质审核负责，第三方支付平台要加强对企业的监督和指导，使二维码技术的运用更加的成熟。最后，监管部门应健全有效激励越是机制，有奖有罚，使二维码技术更为健康的发展。
（二）制定二维码设计的统一标准
对于二维码在制码过程中的的运算和大小要制定出统一的标准，并对发布前的二维码进行严格的审核和认证。我国可以参考日本二维码的设计方式，在二维码中插入图片、数字或Logo，并在图案中加上颜色。用户可以直观的看到二维码可能涉及到的内容，避免用户应识别错误进入不该进入或不想进入的二维码内容，造成不必要的风险和资金损失。为了避免不法分子伪造合法的二维码，监管部门可以在二维码下方发布每个厂商二维码的相应合法的法律代码，用户可以通过法律代码在政府的官网搜寻相应的二维码并扫码，此举可以有效避免用户误扫一些含有病毒的二维码。
（三）提高移动终端设备的风险识别技术
手机等终端设备应该具备识别二维码安全性的查杀软件，对于有风险的二维码进行有效的分析和识别。对于存在安全隐患的二维码直接拒绝，这样可以从源头上拒绝二维码的扫码风险。监管部门应对市面上手机终端设备中的扫码摄像头的操作软件提出严格的要求，对于不符合相关技术要求的设备禁止具备扫码的权限。
（四）增强用户的风险防范意识
监管部门要加强二维码支付风险案例的宣传，使用户在使用二维码支付前对二维码支付可能产生的风险和犯罪分子犯罪的常规手段有一定的了解；要积极引导用户在官方网站下载相关软件的习惯，对不明原因提示安装的软件要坚决拒绝；提醒用户对需要提供账户信息、支付密码的支付方式应该谨慎使用。参考文献：
[1]李宝友，张志广.二维码与第三方支付平台安全探讨[J].计算机光盘软件与应用，2014.
[2]周国涛.浅谈二维码支付的风险与防范措施[J].中国信用卡，2015（01）.
[3]罗贺飞，杨力宏，占鸣.码支付风险防范及发展前景研究[J].金融科技时代，2014.