Специалисты по информационной безопасности уверены, что введение банками функции снятия денег с чужой карты через QR-код может открыть новые схемы для мошенничества— информирует «Российская газета».
«При оплате через QR-код наибольший риск может заключаться в его подмене, — уверен Сергей Голованов, главный эксперт «Лаборатории Касперского». — Например, пользователю в почтовом ящике оставляют квитанцию, похожую на оплату каких-либо стандартных услуг. Если при сканировании человек внимательно не проверит реквизиты платежа, то средства могут уйти злоумышленникам».
По его словам, злоумышленники могут получить доступ к личному кабинету пользователя и самостоятельно создать QR-код для снятия средств. «Однако это возможно только при наличии у них информации о втором факторе, который они будут пытаться получить с помощью социальной инженерии, или если пользователя убедят установить на устройстве программу для удаленного управления. Случаи, когда злоумышленники генерировали QR-код таким образом, известны», — продолжает специалист.
Эксперт также порекомендовал никогда и никому не сообщать одноразовые пароли и другую финансовую информацию, не устанавливать программы по просьбе незнакомых людей, загружать только официальные приложения для интернет-банкинга и установить на все устройства, включая мобильные, защитные решения.
Руководитель направления по противодействию онлайн-мошенничеству Group-IB Павел Крылов считает, что могут появиться новые схемы мошенничества: «Например, «сотрудник банка» может позвонить и попросить подтвердить идентификацию пользователя и для этого переслать ему QR-код. В результате мошенник сможет обналичить средства в любом банкомате».
Он полагает, что новая технология позволит дропперу (человеку, который занимается выводом и обналичиванием похищенных денег — прим. «РГ») без наличия карты «раскидать» сумму на несколько QR-кодов, чтобы сообщники злоумышленника смогли бы в нескольких банкоматах снять наличность.
В данном случае QR-код играет роль платежного поручения, по которому необходимо выдать деньги тому, кто предъявит этот код в банкомате, объясняет Даниил Чернов, директор Центра Solar appScreener компании «Ростелеком-Солар». Новый способ передачи денежных средств предполагает две точки риска.
«Первая — безопасность алгоритма генерации QR-кодов. Если он будет недостаточно защищен, злоумышленники смогут его скомпрометировать и генерировать коды самостоятельно. Судя по текущей информации, единых требований по разработке алгоритмов генерации QR-кодов нет, скорее всего они будут разрабатываться каждым банком отдельно. Вторая точка риска связана с защитой QR-кода на стороне отправителя и получателя. Если устройство одного из них скомпрометировано, мошенники смогут перехватить код и забрать по нему деньги», — считает он.
Специалист уверен, что для повышения безопасности выдачи денежных средств по QR-коду следует также внедрить второй фактор аутентификации, это позволит снизить риск кражи денег злоумышленниками.
Ранее «Известия» сообщили, что в 2022 году банки начнут внедрять функцию по снятию денег в банкомате с чужой карты через QR-код.