Несколько российских банков запустят сервис по снятию наличных через QR-код без карты. Банки считают, что это сделает их сервисы удобнее для расчетов и снятия денег. Но эксперты опасаются, что мошенники воспользуются новыми возможностями. Безопасны ли QR-коды при получении денег в банках и как можно будет защитить свои средства от мошенников?
В число банков, которые планируют внедрить такую функцию, вошли «Открытие», УБРиР и СКБ-банк. Тестировать новую функцию планирует и ВТБ. Они хотят начать разрабатывать такую систему до конца 2021 года. Пока что похожий функционал есть только у «Тинькофф» — в месяц с его помощью в банке совершается примерно 40 тысяч операций на сумму около 3,5 млрд рублей. Банки считают, что такая услуга поможет, если клиенту срочно будут нужны наличные, но у него не окажется с собой карты, а также для расчетов клиентов с другими лицами.
Система будет работать следующим образом: пользователь в мобильном приложении банка генерирует QR-код на получение определенной суммы и подносит его к банкомату, который считывает код и выдает деньги. Код можно переслать — знакомому, продавцу или поставщику услуги, и тот также сможет забрать деньги в любом банкомате. Ему тоже не нужно будет иметь с собой банковскую карту и даже быть клиентом банка — QR-кода будет достаточно.
Руководитель направления по противодействию онлайн-мошенничеству Group-IB Павел Крылов считает, что злоумышленники обязательно воспользуются возможностью снять деньги через QR-код и придумают схемы под этот функционал даже в том случае, если у технологии нет уязвимостей.
«Например, [якобы] “сотрудник банка” может позвонить и попросить подтвердить идентификацию пользователя и для этого переслать ему QR-код. В результате мошенник сможет обналичить средства в любом банкомате», – предположил эксперт в разговоре с «МБХ медиа».
Кроме того, по мнению Крылова, аферистам станет проще обналичивать деньги, так как дроппер (человек, который занимается выводом и обналичиванием похищенных денег), без наличия карты сможет раскидать сумму на несколько QR-кодов и сообщники злоумышленника могут в нескольких банкоматах одновременно снять наличные. Соответственно, это откроет для мошенников, укравших деньги, новую возможность для быстрого обналичивания.
Специалист по информационной и компьютерной безопасности Сергей Вакулин в разговоре с «МБХ медиа» дал несколько технических советов, как можно избежать таких проблем в случае использования QR-кодов для снятия денег. По его мнению, следить за безопасностью своего смартфона должны и отправитель, и получатель QR-кода.
Эксперт советует устанавливать на устройства (смартфоны и пр.) только официальную прошивку, так как у неофициальной прошивки, которую ставят пользователи в маленьких сервисах, есть свои риски. Так, например, в них могут быть встроены шпионские программы, которые будут передавать любые данные злоумышленнику.
Кроме того, не следует устанавливать на свой смартфон приложения из недостоверных источников, то есть такие приложения, которых нет в официальных магазинах, например, в App Store и Google Play (особенно это касается пользователей Android). Такие приложения получают доступ к хранилищу телефона, где можно будет найти и такой QR-код.
Не стоит хранить QR-коды и в облачных хранилищах. Например, мошенник получит к нему доступ в том случае, если пользователь привязывал к нему социальную сеть: так, взломав аккаунт, например, «ВКонтакте», хакер получит доступ и к облаку, где и хранится QR-код.
Также стоит с опаской относиться к мессенджерам и социальным сетям, у которых часто есть уязвимости и которые никогда не бывают до конца безопасными, поэтому там QR-код будет проще украсть.
Но следить за безопасностью QR-кодов стоит и банкам. Вакулин считает, что банки должны будут устанавливать временной лимит на снятие денег, например, час («Тинькофф» пока установил лимит на 24 часа). Кроме того, QR-код должен быть одноразовым, чтобы его нельзя было использовать в дальнейшем.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.