邱雅嫻++石堅
內容摘要:以分析物聯(lián)網安全的發(fā)展和演進,對二維碼及相關技術進行論述,進而提高政法機關對于二維碼犯罪的治理能力。以2016年網絡安全數(shù)據(jù)和互聯(lián)網犯罪數(shù)據(jù)為基礎樣本分析,論述二維碼技術犯罪的犯罪規(guī)律特點和當前的偵查困境,最后提出應對該類犯罪的偵查對策。
關鍵詞:物聯(lián)網安全,二維碼犯罪,偵破難點
隨著互聯(lián)網和智能手機的迅速發(fā)展,二維碼在現(xiàn)實生活中被廣泛應用于各類移動終端。由于二維碼具有存儲信息大、糾錯能力強、易于傳播、方便識別及加密機制等優(yōu)點,這一技術有助于用戶在數(shù)十秒內完成信息讀取、交易轉賬、傳播信息等日常生活活動。它在成為人們現(xiàn)代生活方式的同時,也被不法分子視為物聯(lián)網犯罪的新手段。
一、二維碼技術犯罪現(xiàn)狀
2017年2月,據(jù)360互聯(lián)網安全中心發(fā)布《2016年中國手機安全狀況報告》顯示 ,相較于2015年,二維碼仍然是手機用戶感染病毒的主要渠道之一。黑客把木馬程序、手機病毒、流氓網站和釣魚網址等轉化為二維碼,通過“掃碼中獎”、“掃碼兼職”、“掃碼優(yōu)惠”等方式植入、傳播至用戶手機。2016年,獵網平臺(360手機殺毒平臺)共收到全國用戶提交的網絡詐騙(含掃二維碼導致的扣款和資金損失)舉報20623例,舉報總金額1.95億元,人均損失9471元。其中,釣魚網站及攜帶釣魚網站的二維碼支付占比48.4%,累計2098.3萬元,同時,釣魚網站及攜帶釣魚網站的二維碼導致盜刷占比10.8%,累計467.1萬元。
(一)二維碼及其技術簡介
二維碼,又稱二維條形碼(QRC: Quick Response Code),最早源自日本。它是有數(shù)學意義上的二維空間陣列組成的矩陣符號,遵照比特流規(guī)律,以特定的幾何圖形,按照一定規(guī)律(碼制)在二維平面以黑白相間的圖形記錄數(shù)據(jù)和儲存信息 。用戶通過設備中安裝的掃描軟件識別二維碼,即可快速獲取該二維碼中相應信息,即完成了一次物聯(lián)網動作,實現(xiàn)了物與物的連接。
二維碼因其攜帶信息量大和易于識別而迅速在日常生活中被人們接受, 它通過縱向和橫向兩個方位的矩陣符號傳遞大量信息,包括文字、圖片、網頁地址和程序等,具有存儲信息大、糾錯能力強以及加密機制等優(yōu)點。同時,它可以儲存并顯示在各類媒體介質中,包括紙質、圖片和網頁上,具有易于傳播,方便識別等優(yōu)勢 ,常被應用于宣傳、廣告、營銷、新聞等公共信息領域以及支付、社交、個人信息等涉及加密的領域。二維碼技術則是對二維碼信息進行編碼、糾錯、圖像處理及加密等動作的條碼技術。它集信息編碼、信息傳遞、圖像處理、數(shù)據(jù)加密等技術于一體,以實現(xiàn)信息化時代背景下的信息快速傳遞,屬于物聯(lián)網通訊技術的具體應用之一。
(二)二維碼技術犯罪現(xiàn)狀簡介
隨著智能手機和互聯(lián)網的普及,用戶使用智能手機掃取二維碼讀取其中載有的信息成為一種新興高效的數(shù)據(jù)交換和傳遞模式。這一特點在市場化的催化下將大量商業(yè)行為由線上宣傳轉移到線下交易,并同時與個人信息和銀行賬戶信息綁定,支持將支付和轉款交易由線下付款轉移到線上轉賬。 二維碼技術犯罪的本質是“網絡犯罪”(物聯(lián)網犯罪)的其中一種。目前,二維碼技術犯罪的類型有三類:
1.捆綁病毒盜取用戶個人信息,實施精準詐騙
二維碼作為大數(shù)據(jù)時代的產物,是連接現(xiàn)實和互聯(lián)網、個體和他人的橋梁,因此存在廣泛的用戶群體。不法分子為獲取用戶個人信息,往往將病毒或帶有植入功能的病毒網址鏈接生成二維碼形式的圖形,包裹在一般信息中,如廣告、游戲、促銷等,誘導手機使用者掃描。一旦該二維碼被識別成功,用戶手機在聯(lián)網狀態(tài)下會被植入相應病毒,從而泄露手機中幾乎所有個人信息,如聯(lián)系人信息、網頁瀏覽記錄、足跡地址、網絡鑰匙串等。這類個人信息的泄露會導致用戶成為精準詐騙犯罪的潛在受害人。在2016年的中國互聯(lián)網安全大會上,這一二維碼的風險被360烽火實驗室的工作人員在大會上現(xiàn)場演示, 即當用戶掃描帶有相應病毒的二維碼之后,手機上的通訊錄、短信信息會在短時間內以短信的形式發(fā)送至犯罪嫌疑人預先設置好的接收手機中。這一結果有可能導致個人隱私信息的泄露,對手機用戶而言存在巨大的信息安全隱患。
2.攜帶木馬程序盜取用戶支付信息,造成用戶經濟損失
同理,當用戶手機掃描帶有木馬程序的二維碼后,有可能會出現(xiàn)三種直接產生經濟損失的情況。一種是該二維碼是偽裝的“賬戶登錄授權碼”,即用戶掃描后即被視為授權該賬戶在其他地點登錄,也就是說不法分子在異地登錄用戶的賬戶,直接轉移用戶手機支付軟件中的財產,如果用戶賬號綁定了免密銀行卡和信用卡,往往損失慘重。另一種情況是不法分子將木馬病毒植入二維碼,當受害人掃碼成功后,此類木馬病毒會自動植入受害人手機,自動提取手機內用戶信息,如、聯(lián)系人信息、卡號、銀行卡信息等,從而自動將受害人支付寶等網銀賬戶里的資金轉走,如武漢警方公布的一起二維碼犯罪案件中,受害人由于掃描網上所謂的“兼職信息二維碼”后,自己的支付寶很快被轉走6700元,隨后為“辦理該款項退款”,受害人再次掃描二維碼,造成二次被轉款的后果。 最后一種情況是植入的木馬病毒在手機后臺一直運行,無法關停,會自行“定制”收費程序,向機主手機發(fā)送收費短信,消耗手機流量,造成話費損失。
3.以非正當手段盜取公民個人信息,實施精準詐騙
這一類行為不涉及誘導手機使用者掃描二維碼,而是以非正當手段掃取含有公民個人身份信息的二維碼以獲取相關信息,如公民購票成功后印有二維碼的火車票、機票、快遞單號等渠道。自2011年6月起,鐵道部實行實名制購買火車票,每張成功出票的票面上都印有包括購票人姓名、身份證號碼、聯(lián)系電話等個人信息的二維碼,雖然官方為了公民身份證信息泄露已經最票面身份證信息第11位至第14位做了隱除處理,但不法人員通過某些掃碼軟件依然可以破解出相應乘車人個人信息。 因此,在含有個人信息的二維碼流通過程中,公民個人信息的泄露存在重大隱患。endprint
二、二維碼技術犯罪的偵查困境
目前二維碼技術在生成機制和技術加密上還缺乏安全保障,中行支付結算司在2014年3月曾一度因為支付安全問題而暫停了支付寶、財付通公司的二維碼支付服務。在中行支付結算司下發(fā)的“關于暫停支付辦公室線下條碼(二維碼)支付等業(yè)務意見的函”中明確指出:“二維碼支付突破了傳統(tǒng)受理終端的業(yè)務模式,其風險控制水平直接關系到客戶的信息安全與資金安全。目前,將二維碼應用于支付領域有關技術,終端的安全標準尚不明確。相關支付撮合驗證方式的安全性尚存質疑,存在一定的支付風險隱患。為維護支付體系穩(wěn)定、保障客戶合法權益,總行有關部門將對該類業(yè)務的合規(guī)性、安全性進行總體評估。 ”
目前公安機關對于二維碼技術犯罪的偵查工作有以下四點困境:
(一)犯罪技術門檻低,風險收益高
二維碼生成作為一種簡單的編碼技術,非常易于制作。 普通二維碼與藏有木馬病毒的二維碼外觀相似,極難分辨兩者的差異,只要用戶掃描帶病毒的二維碼就會被植入木馬程序,從而導致現(xiàn)金、流量損失或個人信息的泄露。此外,二維碼生成技術還被作為“服務”在網上出售, 有預謀的犯罪人員可以借助假的身份信息在一般網購平臺上輕易獲取這一服務,甚至可以輕易在網上搜索到各種二維碼生成器,將相應的釣魚網站網址和程序生成二維碼。由于此類犯罪的收益高,技術門檻極低,手法隱蔽,導致公安機關無法及時查證和取證,予以犯罪人員相應的懲罰。
(二)犯罪時間短,調查固定證據(jù)難
由于利用二維碼技術犯罪與電信詐騙犯罪相似,都是犯罪人員通過木馬病毒、釣魚網站等現(xiàn)代通信技術和網絡社交平臺等工具實施犯罪行為,當受害人手機中的錢款被轉移至犯罪分子的賬戶后,被轉移資金會在段時間內通過網銀被轉移至犯罪分子其他二級、三級賬戶內,再利用POS機虛假套現(xiàn)等方式取出。因此此類犯罪都存在現(xiàn)金流流水記錄只保留于網絡服務器上的情況。 公安機關辦案人員雖可以通過網絡技術追蹤到錢款轉移路徑,但由于犯罪時間短,資金流通快,犯罪嫌疑人具備一定的網絡知識和反偵查能力,這些流水證據(jù)有可能被銷毀或是被服務器供應商新數(shù)據(jù)所覆蓋,以致線索中斷。其次,用于實施贓款轉移的賬戶、網銀、電話號碼等都有可能是犯罪嫌疑人為了作案而專門購入一次性使用的,此類無效信息會浪費公安人員大量的時間和精力,導致偵查效率低下。
(三)抓捕犯罪嫌疑人難
二維碼技術犯罪的犯罪嫌疑人員要么是熟悉或精通網絡的個人作案,要么是團伙作案。如果是個人作案,公安機關需要熟悉對此類網絡技術熟悉的專業(yè)人員對作案手機的IP地址進行定位和追蹤,需要專門知識以及時發(fā)現(xiàn);如果是團伙作案,犯罪團伙一般內部分工明確,單線聯(lián)系,且流動范圍廣,用于贓款轉移的賬戶、電話、身份證都有可能不是真實有效的,這使確定犯罪嫌疑人的難度增大。如果團伙作案涉及到境外人員或組織,在偵查辦案時須按照我國是法律法國和涉案地的相關法律法規(guī)抓捕, 這也對抓捕犯罪嫌疑人增加了難度。
(四)偵破追贓困難
當此類犯罪發(fā)生后,對于贓款的追蹤是偵查難點之一。因為公安機關需要判斷案件類型是木馬植入登錄轉贓或是后臺病毒耗費流量,亦或是個人信息被盜竊后的精準電信詐騙,要根據(jù)不同的犯罪類型采取相應的追贓辦法。如果是木馬程序植入,不法分子異地登錄用戶賬號作案,雖可以追蹤到轉移賬戶,但追蹤到的賬戶往往是犯罪分子轉移贓款的多級賬戶之一,每當贓款轉移進賬戶,犯罪分子可以通過網上銀行實現(xiàn)快速層層轉賬,然后在不同地方提取、藏匿,使贓款追回難度驟增, 同時此類情況需用戶舉證證明非本人登錄且不在保險賠付范圍內;如果是后臺病毒耗費流量,屬流氓軟件,不屬于公安機關立案偵查的范圍;如果是因為個人信息泄露而導致的精準詐騙案件,則應該以詐騙案件立案偵查,追贓同樣面臨著上述的困難。
三、二維碼犯罪的偵查對策
近年來,二維碼發(fā)展迅猛,由此而來的二維碼犯罪也成為新興物聯(lián)網犯罪現(xiàn)象之一。公安機關應當從主動監(jiān)管、軟件技術等方面進行偵查。
(一)加強與金融機構監(jiān)管部門合作
公安機關在偵查二維碼犯罪時一般會面臨追溯贓款流向的問題。犯罪嫌疑人利用手機、電腦、網銀等工具,將贓款快速通過網銀或銀行進行轉移,公安機關在追贓取證的過程中,需要輾轉數(shù)家涉案金融機構核查。2016年10月,國務院辦公廳發(fā)布《互聯(lián)網金融風險專項整治工作實施方案的通知》, 集中力量對第三方支付及及跨界從事金融業(yè)務等重點領域進行整治,明確第三方支付業(yè)務時“開展支付業(yè)務的機構應依法取得相應業(yè)務資質,不得無證經營支付業(yè)務,開展商戶資金結算、個人POS機收付款、發(fā)行多用途預付卡、網絡支付等業(yè)務”并嚴格準入管理,強化資金監(jiān)測,建立健全互聯(lián)網金融監(jiān)管長效機制,加強跨部門、跨區(qū)域協(xié)作,共同承擔整治任務,共同落實整治責任。因此,公安機關應借此專項整治活動進一步加強與金融監(jiān)管部門的協(xié)作,建立互聯(lián)網金融犯罪的平臺,擴大金融流水數(shù)據(jù)的錄入和監(jiān)察,將會有益于二維碼犯罪的偵查。
(二)加強警務技術研發(fā),推出加密識別二維碼軟件
二維碼技術作為一種物聯(lián)網條碼技術,本身是中立的技術手段。當不法分子將木馬程序和病毒捆綁在二維碼中用于不法謀利時,應該被識別、攔截和查殺的是所捆綁的惡意程序,但目前二維碼攜帶的木馬程序種類在移動設備網絡訪問防護軟件站數(shù)據(jù)庫中資料較少。
據(jù)騰訊公司2016年發(fā)布的手機網絡安全數(shù)據(jù)顯示,對比于2013年的同期用戶數(shù)據(jù),2016年手機病毒感染用戶數(shù)量翻了6倍,手機病毒包的數(shù)量和種類以每月百萬級速度增長,僅上半年新增的病毒包計918萬, 其中高達82.8%是資源消耗類病毒。2016年上半年,感染手機病毒的用戶超2億人次,32.3%的用戶明確表明自己手機遭遇過病毒風險。針對這一現(xiàn)狀,公安機關應培養(yǎng)專門技術人才,研發(fā)并推廣帶有安全掃描功能或接口的二維碼專門識別軟件,用于識別、攔截、阻攔和查殺二維碼捆綁病毒。 其次,公安機關應借鑒已有的二維碼病毒識別軟件,研發(fā)安全且易操作的相應識別軟件,如由全球資訊聯(lián)盟網開發(fā)的用于保護個人隱私安全的P3P(the platform for Privacy Preferences)平臺,該平臺技術可以自動識別多種Cookies插件的嵌入方式,保護用戶在線隱私, 即用戶在上網過程中可以自主選擇是否被第三方收集信息。如有第三方站點不遵守P3P標準,其相關Cookies插件則會被自動拒絕。最后,公安機關應加強與網絡安全軟件企業(yè)的合作,建立二維碼木馬數(shù)據(jù)病毒庫,完善追蹤路徑的軟硬件配置,在源頭上進行數(shù)據(jù)加密及認證,開發(fā)數(shù)據(jù)回蹤功能,以便在偵查需要時進行源頭追蹤,為偵查取證做好技術保障。
(三)利用社區(qū)警務提高公民手機使用安全意識
據(jù)中國互聯(lián)網絡信息中心(CNNIC)2017年發(fā)布的第39次《中國手機網民網絡安全狀況報告》顯示,截止2016年12月,我過手機網民規(guī)模達到6.95億,二維碼個人用戶數(shù)量接近7億。 然而部分用戶在使用手機上網時仍然缺乏安全意識,29.4%的用戶認為不會有風險或沒有想過此類問題。 基于此,公安機關可利用社區(qū)警務工作向群眾宣傳并解答掃描二維碼存在釣魚網站捆綁病毒、泄露個人信息、被安裝木馬病毒等的潛在風險;提高群眾掃描二維碼的安全意識,不要輕易在掃描二維碼后填寫個人信息和在公共網絡下掃描二維碼支付,注意二維碼網站的域名等;推廣現(xiàn)有的如騰訊手機管家、360手機衛(wèi)士、LEB安全大師等 手機防病毒軟件,幫助群眾主動規(guī)避掃描二維碼帶來的網絡病毒風險。
在科技迅速發(fā)展的今天,二維碼作為物聯(lián)網科技的應用手段之一,在便捷人們生活的同時,也增加了新的犯罪手段,給公安機關的偵查工作帶來了更大的挑戰(zhàn)。公安機關應當與時俱進,在實踐中掌握軟件知識和應用技能,加強與其他部門合作,充分運用物聯(lián)網科技,可有效偵破信息化時代下的新型犯罪。endprint