犯罪分子向来善于利用新技术的“前沿领域”。19 世纪中叶,有组织犯罪团伙通过刚刚诞生的电报,协调不在当地司法管辖范围内的犯罪活动。20 世纪初,有组织犯罪分子借助汽车快速逃离现场,还将其用作运输盗窃物品的“工具”。120 世纪 90 年代,儿童剥削及贩毒犯罪分子利用互联网传播儿童性虐待内容、销售非法毒品。2 在这三个案例中,犯罪网络先于“主流”社会运用相关技术,就是为了领先执法机关一步。
快速响应码与欺诈
快速响应码(二维码)是我们购买的产品上展示的一种通用产品代码。20 世纪 90 年代初,日本工程师原昌宏发明了二维码,并将这种代码格式用于追踪日本汽车制造供应链中的零部件。二维码主要分为两类:静态(存储固定信息)和动态(可变更信息)。在二维码中,数据被排列成黑白像素,只要经过智能手机摄像头或其他扫描设备扫描,就能完成解读。二维码为二进制形式,黑色部分表示 1,白色部分表示 0。静态二维码就像个人名片,而动态二维码则像个人网站(易于更新)。非接触式和简单便捷,通常意味着没有物理界限、中介机构等“阻碍”。物理界限和中介机构能在一定程度上保障安全,冻结或撤销安全性存疑的交易。
以自动柜员机 (ATM) 为例。银行客户可以通过自动柜员机提取现金,无需在“银行营业时间”亲自赶往银行办理。这为客户带来了便利,也为银行降低了人力成本。然而,这种操作流程简化也有其劣势。不法分子可能“踩点”自动柜员机的位置,然后瞄准银行客户实施抢劫,因此,客户的人身安全风险也随之升高。由于缺少银行柜员实时观察,犯罪分子得以避开相关人员(好人)视线并利用该系统。二维码也难逃这种趋势。需要说明的是,二维码不会遭到黑客攻击。黑客若要篡改,必须修改黑白二进制模式,而如果不了解实际二维码背后的明文,仅凭肉眼根本无法读取。3即便如此,犯罪分子仍有其他手段破坏二维码以达成其非法目的。
大量二维码相关欺诈通过二维码网络钓鱼实施。Security 报告称,相比 2023 年 1 月至 8 月的累计数量,2023 年 9 月的二维码网络钓鱼事件增长了 51%。4与其他金融相关欺诈类似,二维码网络钓鱼极易导致账户盗用和数字支付欺诈。
二维码欺诈的实际操作
肉眼无法直观辨别恶意二维码,这为不法分子提供了显著便利。
随着公众逐渐习惯忽略和删除电子邮件中(可能存在)的引导受害者跳转至欺诈网站的恶意统一资源定位符 (URL) 链接,犯罪分子开始利用条形码的“下一代”版本——二维码。鉴于配备摄像头的智能手机的广泛使用以及二维码的实用功能,二维码在活动门票、广告和餐厅菜单中随处可见。犯罪分子可将恶意二维码覆盖在合法二维码上,将扫描者引导至要求提供个人信息的网站,进而实施身份盗用。
2023 年 11 月,金融犯罪执法网络 (FinCEN) 发布警告,提醒人们注意不法分子发出的标注“重要合规通知”并附带二维码的电子邮件或实体通信。这起欺诈事件发生的背景是,金融犯罪执法网络根据 2024 年 1 月《公司透明度法案》(CTA) 规定,要求增加受益所有权信息 (BOI)。《公司透明度法案》规定,在美注册的企业需向美国财政部提交受益所有权信息。于是,诈骗分子针对新成立的美国企业使用欺诈二维码实施诈骗。此类企业一旦扫描这些二维码,就不得不提交私人信息,和 / 或在用于扫描的设备上安装恶意软件。5这种欺诈形式实现的信息获取极易引发合成身份欺诈和 / 或真实身份操纵。
防范方法
金融服务领域的二维码主要用于支付相关活动,PayPal、Venmo 等移动支付服务提供商都在使用。金融服务领域的二维码还有其他行政用途,帮助客户省去输入信用卡号或其他个人信息的步骤,这对原本需要填写冗长贷款申请的客户意义重大。动态二维码可为金融机构客户分配一个有效期时限较短的有限二维码,避免其被用于未来可能出现的欺诈活动。生物测定学安全方案,例如视网膜扫描和指纹识别,可用作双因素认证,证明二维码持有者确为与该二维码相关的“合法”个人。
金融机构在使用二维码时,还可通过信息加密提升安全性。加密二维码通过加密算法生成。这些算法可以(通过复杂数学运算)打乱明文,并将明文转换为(看似毫无意义的)字母数字字符串。金融服务领域最常见的加密形式是公钥或非对称加密 (AC)。接收方会将加密消息解密并转换为可读形式。二维码令非对称加密成为商业活动的可行之选。非对称加密借助(所有人可见的)公钥和安全可见性有限的私钥保障信息安全。如果有人同时取得两种密钥,就能全面访问存储信息。这些“密钥对”通过加密算法生成,从数学角度将两个密钥相互关联,数学的精确特性使之无法更改。
随着量子计算兴起,这种非对称加密的安全措施将会面临风险。量子计算会让通过非对称加密保护的二维码处于安全风险之中。非对称加密二维码是数字资产比特币生态系统的支柱。随着比特币单位在传统金融 (TradFi) 领域愈发常见,传统金融实体需要留意相应发展动态,从而缓解这种易受量子计算影响的情形。由于量子计算尚处发展初期,这些非对称加密的安全惯例仍在持续改进。兰德公司报告称,“专家共识”指出,“至少到本世纪 30 年代”,量子计算机都不会威胁到经济体的计算机基础设施。6传统计算机以线性方式逐步解决问题,而量子计算机则能同时分析所有可能的解决方案。非对称加密会因这种能力而面临威胁,所以需对二维码通信采取保障措施。后量子密码学正在推行,非对称加密代码最终将被抗量子技术取代,而非对称加密惯例则会被引入量子领域,以匹配量子的整体计算能力。金融机构必须紧跟最新进展,围绕量子对敏感数据的影响实施风险评估,并对这些新算法开展测试。2022 年 12 月,拜登政府签署立法,要求美国联邦实体采用抗量子技术。72023 年初,美国国家标准技术研究所 (NIST) 强调了四种算法,用于防范量子计算机攻击现有技术基础设施。该研究所目前正在分析公众对于这四种选定算法的反馈。2023 年 10 月,美国金融业监管局 (FINRA) 发布报告《量子计算及其对证券行业的影响》。8
结语
正如上文所强调的,犯罪分子总会试图利用新技术为自身谋取利益。金融服务从业者必须竭尽全力,保护全球经济支柱不被利用。鉴于加密二维码存在漏洞,金融专业人士必须随时了解能够采取哪些防御措施,保护业务开展期间需要顺畅便捷的二维码使用体验的客户。
当前,金融机构广泛运用二维码技术,该技术也朝着对金融机构及其客户有益的方向不断发展。一方面,犯罪分子持续推动有利自身的非法活动,另一方面,反欺诈和反洗钱专业人员则对这些非法活动进行反击。此类安全“军备竞赛”正在如火如荼地展开。因此,所有安全和合规专业人员均需采用能够提升金融行业运营水平以及全球整体用户 / 客户体验的二维码,确保在威胁金融服务基础设施的挑战出现前采取行动。
Doug McCalmont,Chrysalis Digital Asset Exchange 联合创始人 / 首席合规官,马萨诸塞州昆西市,DMcCalmont@ChrysalisDAE.com, ,
Rob Goldfinger,CAMS,美国陆军刑事调查司令部上尉(退休),SAS FSBU 业务拓展部欺诈、安全和情报领域专家,Rob.goldfinger@sas.com
- Joel Cahill,“Criminals are Early Tech Adopters”(犯罪分子最早运用各类技术),INFIMA,https://infimasec.com/blog/criminals-early-adopters/
- 同上。
- "Can a QR Code be hacked?”(二维码会遭到黑客攻击吗?),Unitag,https://www.unitag.io/faq/can-qrcodes-be-hacked
- “New report shows 51% rise in QR code phishing for September”(新报告显示 9 月二维码网络钓鱼事件增长 51%),Security,2023 年 11 月 9 日,https://www.securitymagazine.com/articles/100122-new-report-shows-51-rise-in-qr-code-phishing-for-september
- “Beneficial Ownership Information”(受益所有权信息),金融犯罪执法网络,https://fincen.gov/boi
- Edward Parker,“When a Quantum Computer Is Able to Break Our Encryption, It Won't Be a Secret”(一旦量子计算机能破解我们的加密技术,这将不再是个秘密),兰德公司,2023 年 9 月 13 日,https://www.rand.org/pubs/commentary/2023/09/when-a-quantum-computer-is-able-to-break-our-encryption.html
- John Potter,“President Biden Signs Post-Quantum Cybersecurity Guidelines into Law”(拜登总统签署《后量子网络安全指南》并予立法),IOT World Today,2022 年 12 月 28 日,https://www.iotworldtoday.com/security/president-biden-signs-post-quantum-cybersecurity-guidelines-into-law
- “Quantum Computing and the Implications for the Securities Industry”(量子计算和对证券行业的影响),美国金融业监管局,2023 年 10 月 30 日,https://www.finra.org/rules-guidance/key-topics/fintech/report/quantum-computing