首展科技提醒：移动扫码支付这样做才安全！

移动支付被誉为中国新时代“四大发明”之一，改变了传统货币经济模式，让消费变得更快捷便利；而作为移动支付的代表，二维码支付更是受到消费者和商家的喜爱，遍布生活的方方面面。人们已经习惯出门不带现金和卡，因为二维码支付已经可以解决90%以上的付款需求了。

不过，在“扫一扫”的时候，你有想过，二维码支付安全吗？

主扫模式

在二维码支付发展之初，常用的模式是消费者主动对商家的二维码进行扫描付款。这种模式称为主扫，商家快速申请静态专属二维码，二维码上的信息为商家的账户信息；消费者在付款时主动用移动设备扫描该二维码，支付申请进入支付系统，由支付系统进行处理后，将支付结果转至商户系统。静态二维码很容易生成，极大减少了商家的时间和人工成本，也提高了消费者的消费体验。不过，作为新生事物，静态二维码存在不可忽视的弊端，而这些弊端一旦被不法分子利用，就容易导致消费者和商家的经济损失。

1. 二维码被换

这是技术含量最低、但也最常见的二维码风险了。对于常人来说，二维码极难用肉眼进行辨识，而不法分子正是利用这一点，对商家的二维码进行调换，使款项进入不法分子的账户，由此造成商家的经济损失。

2. 病毒植入

不法分子事先给二维码“下蛊”，将恶意软件编入二维码中，消费者用手机扫描二维码时，病毒悄然侵入消费者的手机内，导致手机“中毒”，不法分子则在后台窃取消费者的银行卡、交易记录、密码等信息。

3. 恶意网址诱导

不法分子将恶意网址链接伪装成二维码，只要消费者扫描二维码，就会被诱导登陆其预先植入病毒的网址。不法分子通过这种方式获取消费者输入的账户及密码等信息。

4. 信息篡改

二维码支付只能实现单边信息交互，不法分子可利用该弱点进行“中间人攻击”，在支付过程中对交易金额、收款账户等进行篡改，造成消费者和商户的资金损失。

被扫模式

为了二维码支付交易的安全，央行于2017年12月29日发布《条码支付业务规范（试行）》，对二维码的监管及规范提出更高的要求，同时鼓励市场主体采用更为安全的动态条码提供支付服务，又称为被扫。

被扫，是指消费者在支付设备生成动态付款码，付款码包含的是消费者的账户信息；商家配备扫码盒子或扫码枪对付款码进行扫描后，商户系统向支付机构系统发出支付请求，最终由支付系统将支付结果转至商户系统。

相比主扫模式，被扫模式可以解决二维码被掉包、恶意植入病毒、链接等问题，同时支持脱机交易，即使在没有连接网络的情况下，消费者也可以生成付款码，提供给商户扫描完成交易。

但被扫模式也存在风险。其最重要的特色是在一定额度内免除密码、短信动态码及任何信息验证，即所谓“小额免密”，这种方式简化交易流程，缩短支付时间，但也意味着任何人都能控制二维码，用二维码进行交易，而这种情况在消费者手机丢失的时候是极容易出现的。就目前而言，支付机构对这种“非授权交易”采用的是严格的格式条款，即一切交易视为消费者本人交易，消费者需要自行承担注意义务和风险把控。

风险防范

无论是主扫模式还是被扫模式，都存在一定的风险。尤其是“非授权交易”情况下，消费者很难举证该笔交易不是基于自身的意思表示发起的，也就存在维权的困难。不过，消费者可以通过以下几种方式，对风险进行事先防范。

1. 尽量选择被扫模式

相对主扫模式而言，被扫模式采用的是动态付款码，可以避免二维码被更换或事先植入病毒等风险；另一方面，商户的扫码盒子或扫码枪具备技术上的风险防范功能，也能较为有效地减少损失的发生。

根据央行的要求，商家出示的静态二维码需带有防伪标志，借此来防范风险。如果不得不选择主扫模式，消费者应当在支付前确认商家信息。

2. 避免随意扫码

很多不法分子将带有病毒或恶意链接的二维码粘贴在公共场所，如地铁口、非正规出版物、共享单车等，并用诱导性的方式来促使用户进行扫码。对此，消费者应该提高警惕，对该二维码的风险性进行分析，对扫码后突然弹出的广告不要随意点击，对不明软件的安装提示坚决拒绝。

3. 谨慎使用小额免密功能

对于支付机构来说，小额免密可以加快交易接受流程，提供消费体验，但在“非授权交易”模式下，风险将可能产生。因此，建议消费者谨慎使用小额免密功能，根据自身的风险承受能力，设置免密金额。

作为对移动支付的创新，二维码支付的使用范围越来越广，涉及的领域也越来越多。在相关责任机制尚未健全的情况下，消费者要充分重视自身的权益保护，避免因二维码支付遭受损失。