Вместе с ростом популярности оплаты через QR-код увеличивается и число мошеннических операций. Злоумышленники подменяют коды, создают поддельные сайты и вводят пользователей в заблуждение, чтобы похитить деньги, рассказал «Газете.Ru» инженер по качеству и автоматизированному тестированию программного обеспечения Дмитрий Кочетов, участвовавший в тестировании компонентов НСПК («СБП» и «СБПэй»).
По словам эксперта, при оплате через банковское приложение QR-код расшифровывается программой и запрос формируется напрямую в банк получателя через защищенные каналы.
«Платеж по QR-коду не хранит и не передает данные вашей карты. Он обрабатывается в рамках банковской инфраструктуры через защищенные каналы, в отличие от классической оплаты в интернет-магазинах. Это делает систему более устойчивой к попыткам перехвата информации», — уточнил Кочетов.
Когда же пользователь сканирует QR-код стандартной камерой телефона или сторонним сканером, уровень встроенной проверки может быть ниже. В таких приложениях контроль реквизитов получателя может быть слабым, и пользователь может не получать автоматическое предупреждение о подозрительных платежах. Это делает его более уязвимым к поддельным кодам и мошенническим схемам.
Эксперт выделил несколько способов обмана при сканировании QR-кода.
Поддельные QR-коды. Мошенники наклеивают свои коды поверх настоящих — на кассах кафе, банкоматах или счетах. Визуально отличить подделку сложно.
Сайты-двойники. Пользователю предлагают «удобно оплатить по QR-коду», но деньги уходят на чужой счет.
Фишинговые страницы. Ссылки могут вести на сайты, внешне похожие на легитимные сервисы, где ввод личных данных автоматически передается мошенникам.
Технические ошибки. При слабом интернете или сбое генерации QR-кода платеж может не пройти корректно или дублироваться.
Кочетов отметил, что банковские приложения проходят многоуровневое тестирование, включая сценарии с некорректными или измененными параметрами QR-кода и граничные условия обработки платежей, и при малейших несоответствиях система предупреждает пользователя или блокирует операцию. В случае технических сбоев предусмотрены механизмы повторной синхронизации и проверки платежа.
Он также поделился простыми, но эффективными рекомендациями, как защитить себя:
— использовать только встроенные сканеры банковских приложений или «СБПэй»;
— не сканировать QR-коды из писем, мессенджеров и социальных сетей;
— проверять имя получателя перед подтверждением платежа;
— никогда не вводить пароли, PIN-коды и коды подтверждения на подозрительных страницах;
— обращаться в банк как можно быстрее, если средства были переведены по поддельному коду — банки запускают процедуру возврата, хотя она зависит от согласия получателя.
По его словам, QR-коды значительно упрощают оплату и доступ к информации. Но удобство несет с собой ответственность — использование официальных банковских приложений и внимательность пользователя позволяют снизить риски мошенничества. Сканирование QR-кодов камерой телефона без проверки — это повышенный риск компрометации средств и персональных данных, что может привести к потере денег и персональных данных.
«QR-платежи — это удобно и безопасно, если не терять внимательность. Технология защищена, но человеческий фактор по-прежнему остается слабым звеном», — резюмировал эксперт.
Ранее выяснилось, что мошенники используют QR-коды для сбора средств для ВСУ.