商品信息在推广时,被明文编码为 QR 二维码信息,普通用户通过自己的终端扫描得到该数据信息,进行解码后,得到具体的商品信息及支付对象,对感兴趣的商品进行购买,完成完整的手机支付过程。 当明文编码后的二维码信息被恶意攻击者拿到时,他可以通过解码得到具体的商品信息,保留其商品信息,篡改它的支付对象,在将两者结合后重新生成二维码进行传播,当普通用户通过该二维码信息进行支付购物时,便出现了“钓鱼”的现象。 该威胁的发生如图所示。
综上可知: 产品信息在包装成二维码信息时并没有考虑信息的完整性和可靠性因素。 当该信息落到攻击者手中时,他们通过反向解析二维码信息,得到完整的商品信息,从而根据原商品信息重新包装成假的二维码信息,该二维码信息指向恶意钓鱼网站,而当普通用户接触该假冒商品信息时,无法做出有效识别,付款后得不到预期想要的商品,造成不可弥补的信息损失和经济损失,对手机支付的安全性构成了威胁。
