Специалисты по информационной безопасности уверены, что введение банками функции снятия денег с чужой карты через QR-код может открыть новые схемы для мошенничества.
"При оплате через QR-код наибольший риск может заключаться в его подмене, - уверен Сергей Голованов, главный эксперт "Лаборатории Касперского". - Например, пользователю в почтовом ящике оставляют квитанцию, похожую на оплату каких-либо стандартных услуг. Если при сканировании человек внимательно не проверит реквизиты платежа, то средства могут уйти злоумышленникам".
По его словам, злоумышленники могут получить доступ к личному кабинету пользователя и самостоятельно создать QR-код для снятия средств. "Однако это возможно только при наличии у них информации о втором факторе, который они будут пытаться получить с помощью социальной инженерии, или если пользователя убедят установить на устройстве программу для удаленного управления. Случаи, когда злоумышленники генерировали QR-код таким образом, известны", - продолжает специалист.
Эксперт также порекомендовал никогда и никому не сообщать одноразовые пароли и другую финансовую информацию, не устанавливать программы по просьбе незнакомых людей, загружать только официальные приложения для интернет-банкинга и установить на все устройства, включая мобильные, защитные решения.
Руководитель направления по противодействию онлайн-мошенничеству Group-IB Павел Крылов считает, что могут появиться новые схемы мошенничества: "Например, "сотрудник банка" может позвонить и попросить подтвердить идентификацию пользователя и для этого переслать ему QR-код. В результате мошенник сможет обналичить средства в любом банкомате".
Он полагает, что новая технология позволит дропперу (человеку, который занимается выводом и обналичиванием похищенных денег - прим. "РГ") без наличия карты "раскидать" сумму на несколько QR-кодов, чтобы сообщники злоумышленника смогли бы в нескольких банкоматах снять наличность.
В данном случае QR-код играет роль платежного поручения, по которому необходимо выдать деньги тому, кто предъявит этот код в банкомате, объясняет Даниил Чернов, директор Центра Solar appScreener компании "Ростелеком-Солар". Новый способ передачи денежных средств предполагает две точки риска.
"Первая - безопасность алгоритма генерации QR-кодов. Если он будет недостаточно защищен, злоумышленники смогут его скомпрометировать и генерировать коды самостоятельно. Судя по текущей информации, единых требований по разработке алгоритмов генерации QR-кодов нет, скорее всего они будут разрабатываться каждым банком отдельно. Вторая точка риска связана с защитой QR-кода на стороне отправителя и получателя. Если устройство одного из них скомпрометировано, мошенники смогут перехватить код и забрать по нему деньги", - считает он.
Специалист уверен, что для повышения безопасности выдачи денежных средств по QR-коду следует также внедрить второй фактор аутентификации, это позволит снизить риск кражи денег злоумышленниками.