扫码支付背后有哪些安全套路？
扫码支付背后有哪些安全套路？
来源：IT经理世界
核心提示二维码只是一种承载信息的载体，可以承载商户信息、交易金额、支付凭证信息等正常的交易信息，也可以承载钓鱼网址或者恶意代码的下载网址等恶意信息。
　　二维码是打通线上线下的重要入口，随着行业标准、技术标准的出台以及支付环境不断完善，二维码已经广泛应用于制造业、物流业、零售业、餐饮业等领域。在支付体验方便快捷的同时，风险也相伴而生，解决好安全问题是二维码支付发展的关键。
　　中国支付清算协会调研显示，安全性是移动支付用户最看重的因素，占比达73.4%。“移动支付产品和服务所涉及到的客户资金规模和信息流量迅速提升，吸引了一些不法分子的关注。”中国支付清算协会副秘书长王素珍说，“这些病毒可以读取、截获手机短信验证码，再结合用户的身份证、银行卡号等信息，截取用户的信息。再有一些不法分子通过钓鱼网站，将木马病毒植入到二维码当中。”
　　在猎网平台2016年接到的手机端用户举报数量中，有4265人是通过银行转账、第三方支付、手机充值等方式主动给不法分子转账，占比66.4%；扫二维码支付的有107人，占比1.7%。从涉案总金额统计来看，钓鱼网站支付，占比48.4%，累计2098.3万元；扫二维码支付占比0.9%，累计38.0万元。
　　在王素珍看来，移动支付涉及到用户的隐私和资金安全，移动支付发展越快，应用得越广，安全性就越重要。“要把安全问题放在移动支付发展优先考虑的位置，还要加强产业链上的安全合作，统一安全、技术标准和业务规则，完善信息共享机制，实现风险的联防联控。”
　　支付闭环内的风险
　　二维码是一种能存储信息的特定格式图片，可以看作一种秘文形式的信息载体，而二维码支付通常指的就是包含了商户信息和金额的订单信息。从技术来说，二维码支付的本质和网络支付一致，安全性与网站类似，也就是说乱扫二维码就等于乱浏览网站，风险势必随之存在，因此，二维码支付面临的安全质疑并不是新生事物。
　　随着通过二维码传播钓鱼网站、发布手机病毒等诈骗活动逐渐增多。2014年3月，央行下发的紧急文件《中国人民银行支付结算司关于暂停支付宝公司线下条码（二维码）支付等业务意见的函》，称“条码（二维码）应用于支付领域有关技术、终端的安全标准不明确，相关支付撮合验证方式的安全性尚存质疑，存在一定的支付风险隐患”，叫停条码、二维码支付等面对面支付服务。
　　中国金融认证中心（CFCA）助理总经理张行介绍，二维码只是一种承载信息的载体，可以承载商户信息、交易金额、支付凭证信息等正常的交易信息，也可以承载钓鱼网址或者恶意代码的下载网址等恶意信息。同时，二维码支付是一种创新的互联网支付方式，而对于一些创新型的互联网业务，为了保证业务前期的快速推广，通常业务经营者会在用户体验和业务安全的天平上向用户体验倾斜，在业务安全方面考虑不多，投入不足，从而让一些不法分子有机可乘。
中国金融认证中心（CFCA）助理总经理张行
　　“为了保证二维码能够在支付业务中安全使用，我们需要对二维码支付业务设计完整的安全机制，保证二维码在发码、传输、应用的过程中不被恶意利用，不被装入恶意信息。”张行说。
　　就刷卡来说，传统的POS刷卡流程是一个四方模式下的循环往复：用户在进行消费的商家POS机上刷卡，收单机构的POS机将读取的刷卡信息通过数据线（通常是电话线或网络接口）发送到清算组织（中国是银联），再通知到用户所用卡片的发卡银行，经银行确认无误，再原路返回到POS终端，即完成了一笔支付流程。
　　张行认为，传统的POS刷卡流程是在一个相对封闭的环境中完成，卡号、交易密码等敏感信息泄露的风险较小。而互联网支付业务，包括二维码支付，支付过程是在开放的互联网环境中完成的，卡号、交易密码等敏感信息存在很大的泄露风险。通过采用Token技术可以在很大程度上降低持卡人敏感信息泄露的风险。
　　Token是国际芯片卡标准化组织EMVCo于2014年发布的一种加密技术，在商家和用户在交易过程当中，真实账号被一个虚拟的账号代替。Token由发卡方发行并且读取，在交易过程中，即使截获了Token也无法进行交易。另外，虚拟账号和一款具体的设备绑定在一起。如果手机丢失，用户只需通知银行重新分配一个等电子令牌即可，而无需重新发卡，节约成本的同时也提高了支付的安全性。EMVCo在规范中描述了四种典型场景：在线商户、数字钱包、非接NFC支付、二维码支付，包括了线上支付场景与线下支付场景。
　　不过，Token技术在降低了个人隐私信息泄露风险的同时，如何保护好Token本身的安全也很重要。“在Token的产生、Token与真实卡号之间的转换、Token的传输、Token的保存等环节，都应该有完善的保护措施。”张行说，“比如引入电子签名技术，从而确保Token自身的安全。”
　　增加安全认证
　　如今的扫码支付形式有两种：一种是主扫，即收款码支付，商户提供收款二维码，消费者用手机APP扫码支付。另一种是被扫，即付款码支付，是消费者提供付款二维码，而商户使用扫码枪等设备扫码收款。
　　在张行看来，基于扫码形式的不同也会带来不同的隐患。二者相较，张行更倾向主扫，主扫模式使用户拥有更多的支付主动权，被扫较适合公信力高的商超，容易有交易纠纷的场景则不适合。
　　他认为，电子签名技术是目前互联网业务中最成熟可靠的一种技术手段，它可以有效地解决互联网业务中的身份认证、防止交易信息篡改、保证交易信息传输和存储安全的问题。在二维码支付业务中，也可以引入电子签名技术，保证二维码制作、传输发布、验证过程的安全。
　　具体来说，第三方电子认证机构在二维码发布者的信息通过审核之后，为二维码发布者发放一张具有法律效率的数字证书。在二维码产生的过程中，用发布者的数字证书对二维码信息进行签名，从而保证二维码信息不被篡改和抵赖；在扫码获取信息后通过验证二维码的电子签名信息，从而验证二维码发布者身份的真实性和二维码信息没有被篡改。在支付交易出现问题的时候，也可以通过二维码的电子签名追溯源头。
　　据了解，目前，支付宝、微信支付、中国银联及多家银行等均已在二维码支付中采用数字签名、安全加密等技术手段，确保二维码生成、传输和解析在各自体系内闭环运行，技术上保障用户资金和信息安全。支付宝在产品功能上做了一些尝试，比如通过收钱码付钱后，商家的手机端都会收到到账语音提示，让商家不用担心少收钱或者款付到别人的二维码中。
　　另外，去年12月12日，中国银联也推出了二维码的支付标准，包括《中国银联二维码支付安全规范》和《中国银联二维码支付应用规范》两个规范，表明要遵循现有银行卡支付的四方模式，各方现有的利益分配不会收到任何影响，不存在因资金沉淀在虚拟账户带来金融风险。另外一点突出的是采用Token技术对账户敏感信息进行保护，确保账户信息在存储、处理和传输过程中的安全性。
　　全国政协委员梅兴保也认为，尽管国内二维码支付在市场成熟度上已领先全球，但业务和技术创新性上仍具有很大成长空间，应鼓励市场机构通过业务和技术创新防控风险。通过技术创新对二维码标识加装防伪标识，避免因误扫二维码而导致的欺诈发生，同时在风险事件发生后，可通过商业保险等方式化解消费者和商户风险损失。　　
责任编辑：韩希宇
暂无相关推荐关于微信扫码支付被限额的三点主要原因
来源：未知
迈宝乐小编
[导读]近期频繁出现的限额现象给 扫码支付 的发展增加了挑战难度，消费者纷纷吐槽为什么我扫的时候会提示限额?为什么扫码的额度不高?在支付这个行业有一个铁规律：支付的便捷性和支付
近期频繁出现的&限额&现象给的发展增加了挑战难度，消费者纷纷吐槽为什么我扫的时候会提示限额?为什么扫码的额度不高?在支付这个行业有一个铁规律：支付的便捷性和支付的安全性永远是两条逆向的平行线，意思就是说有了便捷，就必然会牺牲掉一部分安全，有了安全性就会必然牺牲掉一部分的便捷性，安全性不同的高度和纬度，所针对的大额交易和小额交易都有不同的交易限制，这和银联的闪付、各种手机支付的交易额度被控制在小额交易额度的道理是一样的。
在线下我们通常通过信用卡有磁有密的方式进行交易，而在线上我们通常通过将信用卡绑定在第三方支付账户上来交易，所以这时候能够限额交易的主体除了发卡银行就多了一位第三方支付账户平台。
一、第三方支付平台的电子钱包方限额
钱包方就是我们熟知的支付工具，比如微信支付、支付宝、QQ钱包等，这类机构的限额分两类：
1、风控限额
为了规避洗钱或套现行为，钱包方的风控中心会对商户的行业及发起的交易记录进行分析，对疑似洗钱或套现行为的资金周转进行限额。从用户角度，为规避套现行为，会对个人消费行为进行判断，主要针对信用卡的单笔限额。
注意：这类限额具有不确定性，可能同一消费者今天扫和明天扫同一支付工具的额度不一样。
由于目前的的方式无视空间和距离并且便捷性较高，微信支付宝等针对此类支付方式的&疑似洗钱&或&套现行为&针对个人账户积极发起风控限额措施，上面这位粉丝的遭遇就是此种原因。也是现在扫码支付被限额的主要原因，频繁或过大额度的使用扫码支付都有账户被限制交易额度的可能。
2、对不同个人账户的固定限额
按照用户递交材料的完整性和用户个人的信用分析，钱包方会对用户账户有一个分级，比如支付宝，没有经过实名认证的用户额度肯定相对较低。
注意：这类限额可以规避，按照钱包方的账户分级规则进行升级，即可获取更高额度。
个人使用第三方支付的电子钱包不同的认证条件拥有的交易限制不同，详情参考央行最近颁布的《非银行支付机构网络支付业务管理办法》。执行中还未完全的贯彻执行。
一、第三方支付平台的电子钱包方限额
钱包方就是我们熟知的支付工具，比如微信支付、支付宝、QQ钱包等，这类机构的限额分两类：
1、风控限额
为了规避洗钱或套现行为，钱包方的风控中心会对商户的行业及发起的交易记录进行分析，对疑似洗钱或套现行为的资金周转进行限额。从用户角度，为规避套现行为，会对个人消费行为进行判断，主要针对信用卡的单笔限额。
注意：这类限额具有不确定性，可能同一消费者今天扫和明天扫同一支付工具的额度不一样。
由于目前的二维码支付的方式无视空间和距离并且便捷性较高，微信支付宝等针对此类支付方式的&疑似洗钱&或&套现行为&针对个人账户积极发起风控限额措施，上面这位粉丝的遭遇就是此种原因。也是现在扫码支付被限额的主要原因，频繁或过大额度的使用扫码支付都有账户被限制交易额度的可能。
2、对不同个人账户的固定限额
按照用户递交材料的完整性和用户个人的信用分析，钱包方会对用户账户有一个分级，比如支付宝，没有经过实名认证的用户额度肯定相对较低。
注意：这类限额可以规避，按照钱包方的账户分级规则进行升级，即可获取更高额度。
个人使用第三方支付的电子钱包不同的认证条件拥有的交易限制不同，详情参考央行最近颁布的《非银行支付机构网络支付业务管理办法》。执行中还未完全的贯彻执行。
旗下网站：||||
友情链接：
迈宝乐钱包下载
迈宝乐合伙人下载
扫扫关注公众号扫码支付风险分级进行限额管理 - 华商晨报电子版 - 华商晨报多媒体数字报 - 华商晨报新闻网
扫码支付风险分级进行限额管理
央行发布条码支付规范明年4月起实施 微信钱包扫静态码支付单日上限500
　　新华社电&中国人民银行27日发布条码（条形码、二维码等）支付规范，坚持小额、便民定位，对条码支付风险防范能力进行分级，设置了不同的日累计交易限额。　　央行规定，使用静态条码进行支付的，风险防范能力为D级，无论使用何种交易验证方式，同一客户银行或支付机构单日累计交易金额应不超过500元。　　例如，消费者在使用微信钱包扫描静态条码支付时，单日使用零钱包支付的上限不超过500元，同时微信关联的所有银行卡还可以再独立获得500元的支付上限。　　对于使用动态条码（如手机上实时生成的条码）进行支付的，风险防范能力根据交易验证方式不同分为A、B、C三级，同一客户单日累计交易限额分别为自主约定、5000元、1000元。　　条码支付规范自日起实施。如果在饭店里吃了顿600元大餐，扫静态条码付款就有点困难了，不过可以让收银员扫消费者手机上生成的动态条码，这样其实更安全。
此页面上的内容需要较新版本的 Adobe Flash Player。&&支付宝检测出安全风险怎么办？}