二维码的安全使用

近年来,“二维码”这个不起眼的黑白相间“马赛克”正悄然改变着我们的生活方式。只要用户将手机对着这个小方块“扫”一下,就能够读取很多的信息和服务。二维码制作简单、成本低、使用便捷。随着智能手机的普及和移动互联网的高速发展而广泛应用,但其安全问题也愈发凸显。您可能会说:我只通过微信或支付宝扫描二维码,这能有什么危险?一方面,您扫的可能是假的二维码或者是有毒的二维码码,另一方面,二维码中包含支付相关的信息,可能会被交易双方之外的第三方窃取,进而造成用户受损。

我们先来一些二维码知识科普,二维码又称二维条形码,是用某种特定的几何图形按一定规律在平面,二维方向上,分布的黑白相间的图形来记录数据符号信息。图案中的黑与白类似计算机中的“0”和“1”,于是黑白相间的图案就可以存储一些网址信息,这种图案就是二维码。通过电子扫描设备,可以恢复出二维码中蕴含的信息。

使用支付宝、微信的二维码收款业务,消费者只需打开手机客户端的扫码功能,扫描商家提供的二维码,即可跳转至付款页面,直接付款给商家。国家媒体已经披露过,很多消费在排队时,便拿出手机开启付款二维码,以便在付款时能够快速完成交易。这些消费者不知道的是,可能就是排在其身后的或不远处的“窃贼”悄悄扫描了他的付款二维码,一秒便实现“隔空偷钱”。

在商场、公园、写字楼等人流集中处,商家打出“扫描二维码,关注微信公众号,即送礼品”的活动,对微信公众号进行营销,积累粉丝。传统的静态纸媒无法延伸阅读,二维码则跨越了媒介之间的界限。例如,在某新闻资讯旁设置一个二维码,读者扫描后即可获得更多相关资讯。人们懒得用现金交易了,骗子们也积极利用二维码,伪造缴费单,利用消费者图省事的心理和有时存在粗心大意的情况,基于日常生活消费、公共事业缴费(水、电、燃气费)、交通违章罚单缴费等应用场景,编造虚假的缴费信息通知或提示,同时放置或印制伪造的条码,误导客户扫描伪码,实施欺诈。

商家二维码被替换的情况也很常见,消费者扫码付款后,商家发现钱没入账,原来不法分子用伪造的二维码悄悄替换了商家的收款二维码。共享单车和电动车、汽车的二维码也存在被“掉包”的情况,一般扫描出来的是钓鱼页面,引导受害者付款。

总之,目前,恶意二维码发展势头迅猛,据非官方数据统计,手机上超过20%的病毒、木马和恶意软件都是通过二维码进行传播的。没有审核、缺乏监管、无法认证、难以追责,是目前二维码良莠不齐的主因。

二维码的危害

二维码在快速发展的同时,背后也暗潮汹涌,商家们利用二维码进行正常的商业活动,黑客们则利用二维码搞地下产业。与正常的二维码制作流程类似,恶意二维码的制作非常简单。二维码制作生成器随手可得。通过微信、QQ、微博、论坛以及大街小巷等各种途径传播这些恶意二维码,传播的同时使用煽动性话语诱骗用户扫描。一旦用户扫描,马上就会中病毒或中木马。

安全应对之策

  • 有些二维码软件能够判别二维码信息是否为恶意网址或恶意软件。
  • 绝不提前打开付款码。打开收付款二维码时需谨慎,并对收付款二维码加强遮挡,观察周边是否有可疑人员。
  • 关闭“免密支付”,让每一次支付都需输入密码才能进行。
  • 顾客在扫码输入支付密码时确认交易商户名称是否正确。
  • 使用官方APP扫描开锁,凡是可疑的引导支付,比如网页跳转,一律不支付。
  • 提高二维码使用的安全防范意识,了解到支付二维码信息的机密性,以应对各种新型骗局。
  • 如果遭遇二维码骗局,及时报警,并联系支付平台,在实名制保障下,窃贼往往会被绳之以法,支付平台也有投保,投诉处理顺利的话能获得全额赔付。

昆明亭长朗然科技有限公司是国内网络安全意识教育领域的开拓者,我们帮助众多知名企业提升员工的信息安全防范意识、信息保密意识及合规守法意识。我们不仅有大量的安全意识培训课程素材资源,也为客户量身定制培训内容,欢迎有类似需求的客户联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

移动计算及云计算时代的安全问题探讨

您所在的工作机构是否允许员工使用私人平板电脑或智能手机工作,以便其可以随时随地与办公室保持联系呢?如果答案是确定的,则说明是在顺应大势,紧随潮流。当然,如果答案是否定的,必定是对安全、保密及合规有深深的顾虑,也是可以获得理解和认可的。

私人设备允许员工在家中或路上灵活工作,从而使工作单位受益。虽然一些企业通过发放用于工作的移动设备来实现这一目标,但我相信这种做法将会减弱。千禧一代的年轻人对携带两台移动设备的概念不太能够接受或容忍,并且在使用单个设备进行个人和商业通信时更加舒适和高效。对此,昆明亭长朗然科技有限公司网络安全观察员董志军表示:移动计算与云计算的替代性越来越完善,当计算终端越来越普及,直到无处不在,随时随地可以连接到云服务之时,组织机构已经没有必要分发终端计算设备了,这些计算设备资产本身不值钱。因此,精明的公司将满足员工使用自己私有设备工作的愿望,包括允许他们使用安卓、iOS、Windows或其他任何移动平台或操作系统。

不过,世事都有两面,毫无疑问,从各种私人设备访问工作单位的数据,都会增加安全漏洞的风险,无论是来自黑客攻击,还是员工在不知不觉中下载的恶意软件和病毒。该如何兴利除弊呢?制定关于正当使用移动设备的政策,并向员工强调说明该如何保护驻留在员工的平板电脑或智能手机上的工作信息。

总之,允许员工在世界任何地方工作,可以带来很多好处,也有一些安全泄密隐患。通过一些安全管控方面的作为,可以使远程工作的体验变得既高效又安全。当然,所有的作为,都需要获得员工们的理解和支持。毕竟,员工们是移动工作的主体,移动计算设备是移动工具,端点安全是组织中普遍关心的问题,安全团队应该更广泛地考虑如何保护好终端的信息数据。

诚然,私有计算设备属于员工的资产,如果不关注终端设备保护,终端设备可能成为黑客或病毒等网络威胁进入企业网络、窃取关键信息的跳板;如果只关注设备保护而不是信息数据保护,那么工作单位就面临着巨大的人为因素造成信息失窃的风险。

当下,随着越来越多的设备上线,企业及其信息面临的风险不断增加。估计每年有百亿台配备微控制器的设备被部署在电器、设备和玩具中,这个数字还会不断增长,“高度安全”的物联网设备需要许多设备不具备的属性:基于证书的身份验证、自动安全更新、硬件信任根、防止代码错误的计算基础等等。

同时,云计算正在加速公司收集、处理、存储和使用信息的方式。随着公司过渡到混合基础架构,公司的数据在基于云的系统和本地系统中移动,无疑应该评估他们的端点安全策略,以确保数据在其所在的位置受到保护。身份保护是防范威胁的关键组成部分,企业级组织应通过启用双因素身份验证以减少攻击面、监控和处理安全警报以及使用基于风险的条件访问等解决方案自动修复威胁来增强用户的身份核验。

企业级组织机构必须保护数据在使用、传输和存储等多个生命周期状态下的安全,必须在敏感数据进入环境时对其进行发现和分类,根据策略应用保护,监控和修复威胁,并在数据在整个组织中传输时保持合规性,然后再报废和删除。这些安全控制过程有的可能由信息安全部门独自完成,然而,亦有很大部分需要得到终端用户的理解和支持。毕竟,员工们是信息系统的使用者,是信息数据的创建者和使用者。也就是说,组织机构应通过跨身份、设备、应用程序和数据以及基础设施的可见性、控制和指导来建立其安全态势,以管理其整个组织的安全策略并随着时间的推移改进安全实践。职工们有责任正当使用移动设备,无论是单位派发的,还是私人所有的。这就需要组织机构加强与职员们之间的安全沟通与培训。

昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com