暗网潜航——安心出行与电子支付
庞博文
2021-03-15 04:16 HKT
字体大小
有报道指,有「安心出行」的QR Code被掉包,引致扫描时候手机会自动跳出「电子支付程式」,令人非常忧虑。一些自称专家更声言,这种危机会伸延至以QR Code使用的「电子支付」也有高风险情况。笔者作为一个曾经拆解「安心出行」程式机制的讯息安全专家,跟大家分享一下我的看法。
首先,「安心出行」所使用的QR Code,是由政府后台伺服器所生成的动态QR Code,当使用「安心出行」程式进行扫描便会开始由后台伺服器进行验证以辨别真伪,所以如果QR Code被掉包连接至「电子支付」,一定会跳出错误讯息。如果被掉包成功,可能是被掉包的QR Code是政府以外的后台伺服器所生成的伪动态QR Code。至于「安心出行」App成功接受原因,是因为用家没有使用GPS验证地点位置。
为甚么扫描QR Code会弹出「电子支付」程式呢?唯一可能性是用家使用手机镜头直接在浏览器内进行扫描,而非使用「安心出行」程式,而且掉包上去的是一个真实支付QR Code。因此掉换「安心出行」QR code,基本上不会影响「电子支付」程式。
此外,如果掉包的真是一个支付QR Code,使用者按键付钱便真的付钱。但所有「电子支付」在起动帐号时,已经限制使用额或已进行实名登记,这全都是可以追查。如果有人用这个方法来诈骗,基本上不能逃避法律责任。
QR Code作为电子支付媒介已有一段时间,在早期的确有人以掉包或伪造支付QR Code作为欺骗手段。但随着电子支付国际行业安全基准组织作出技术和指引改进,并在世界各地由有授予牌照的讯息安全专家和监管机构负责进行检测、审计、监管和侦查。正因为支付闸道的后台伺服器会作出验证,所以支付QR Code是难以伪造,大家可安心使用。
TOZ联合创办人
庞博文
首先,「安心出行」所使用的QR Code,是由政府后台伺服器所生成的动态QR Code,当使用「安心出行」程式进行扫描便会开始由后台伺服器进行验证以辨别真伪,所以如果QR Code被掉包连接至「电子支付」,一定会跳出错误讯息。如果被掉包成功,可能是被掉包的QR Code是政府以外的后台伺服器所生成的伪动态QR Code。至于「安心出行」App成功接受原因,是因为用家没有使用GPS验证地点位置。
为甚么扫描QR Code会弹出「电子支付」程式呢?唯一可能性是用家使用手机镜头直接在浏览器内进行扫描,而非使用「安心出行」程式,而且掉包上去的是一个真实支付QR Code。因此掉换「安心出行」QR code,基本上不会影响「电子支付」程式。
此外,如果掉包的真是一个支付QR Code,使用者按键付钱便真的付钱。但所有「电子支付」在起动帐号时,已经限制使用额或已进行实名登记,这全都是可以追查。如果有人用这个方法来诈骗,基本上不能逃避法律责任。
QR Code作为电子支付媒介已有一段时间,在早期的确有人以掉包或伪造支付QR Code作为欺骗手段。但随着电子支付国际行业安全基准组织作出技术和指引改进,并在世界各地由有授予牌照的讯息安全专家和监管机构负责进行检测、审计、监管和侦查。正因为支付闸道的后台伺服器会作出验证,所以支付QR Code是难以伪造,大家可安心使用。
TOZ联合创办人
庞博文
最Hit
51岁前港姐嫁入豪门26年 现身《流行都市》自爆曾患抑郁 想做一事被老公斥嘥钱?
2025-12-16 09:00 HKT
中年好声音4丨蒙面艺人真身大揭秘 「企鹅人」周志康满分晋级 刘佩玥原来系唱家班
2025-12-15 20:00 HKT
更多文章