С ростом популярности оплаты через QR-код увеличивается и количество мошеннических операций. Как рассказал «Газете.Ru» инженер по качеству и автоматизированному тестированию ПО Дмитрий Кочетов, участвовавший в тестировании компонентов НСПК («СБП» и «СБПэй»), злоумышленники используют подмену кодов, создание поддельных сайтов и фишинговые страницы для хищения средств.
Эксперт объяснил, что оплата через встроенный сканер банковского приложения или «СБПэй» защищена: QR-код расшифровывается программой, а запрос формируется напрямую в банк получателя через защищенные каналы, при этом данные карты не передаются.
Однако если пользователь сканирует код стандартной камерой телефона или сторонним сканером, уровень проверки резко снижается, а контроль реквизитов может отсутствовать, что делает его уязвимым.
Кочетов выделил несколько основных схем обмана:
- Поддельные QR-коды наклеивают поверх настоящих на кассах или банкоматах — визуально отличить подделку сложно.
- При использовании сайтов-двойников пользователю предлагают «удобно оплатить по QR-коду», но деньги уходят на чужой счет. Фишинговые страницы имитируют легитимные сервисы, и введенные личные данные автоматически передаются злоумышленникам.
- При технических сбоях (слабый интернет, сбой генерации кода) платеж может не пройти корректно или дублироваться.
Кочетов рекомендовал использовать только встроенные сканеры банковских приложений, не сканировать коды из писем и мессенджеров, проверять имя получателя перед подтверждением платежа, никогда не вводить пароли и коды подтверждения на подозрительных страницах, а в случае перевода средств мошенникам немедленно обращаться в банк.
«QR-платежи — это удобно и безопасно, если не терять внимательность. Технология защищена, но человеческий фактор по-прежнему остается слабым звеном», — резюмировал эксперт.
Технология QR-платежей построена так, что банковские приложения проходят многоуровневое тестирование на некорректные параметры кода, а система предупреждает пользователя или блокирует операцию при малейших несоответствиях.
Однако, по словам Кочетова, использование неофициальных приложений для сканирования и невнимательность пользователя сводят на нет встроенные механизмы защиты. Сканирование QR-кодов стандартной камерой телефона эксперт назвал повышенным риском компрометации средств и персональных данных.