В прошлом году я много ездил между населенными пунктами. Захотелось мне выпить чашечку кофе, и я заехал в магазин на трассе. Но он оказался закрыт, зато в тамбуре стоял вендинговый аппарат с кофе. Так как я уже давно не использую банковскую карту (всё оплачиваю смартфоном), то, конечно, и в этот раз сделал также. Только вот оплата через NFC не сработала, но рядышком был наклеен QR-код.
Я выбрал на экране напиток, и мне было предложено отсканировать наклейку с QR-кодом рядом. На автомате я отсканировал, не смотря тыкнул подтверждение платежа, но аппарат кофе не выдал. Думаю, ну раз сломалась бесконтактная оплата, то, может, что-то с аппаратом — разбираться из-за 100 рублей не было никакого желания, и я уехал. На всякий случай сфотографировал контактные данные владельца аппарата.
Лишь вечером понял, что списали 1000 рублей вместо 100. Благо я успел сфотографировать данные владельца и позвонил. Как вы уже поняли, QR-код был наклеен мошенниками поверх настоящего. Владелец автомата развел руками — уже 5 жалоб, сообщил, что может вернуть несуществующие у него 100 рублей за непопитый мною кофе. Отказался, владелец, конечно, в чем-то виноват, а в чем-то нет — аппараты-то автономные. Банк сообщил, чтобы писал заявление как пострадавший, счета вроде как того товарища, который наклеил QR-код, заблокированы, но я также не стал заморачиваться.
А вот оплата путем сканирования наклеееного QR-кода существует во многих местах. Особенно у тех продавцов, у которых отсутствуют современные терминалы с дисплеем. Например, в местной аптеке QR-код также наклеен, и работает это так:
Вы говорите, какой нужен товар (или выбираете его), система резервирует какое-то время на оплату, вы оплачиваете и получаете свой товар. Удобно для тех, кто не хочет разоряться на современный терминал. И тут возникает резонный вопрос — как защититься от подобного? А кроме оплаты QR-код может подкинуть еще несколько неприятностей.
Есть несколько советов защиты
- Идентификация получателя. Перед подтверждением транзакции следует сверить наименование получателя платежа с ожидаемым (например, с юридическим названием торговой точки). При обнаружении расхождений в реквизитах операцию необходимо отклонить. Конечно же, обращайте внимание на сумму!
- Осмотр QR-кода. Необходимо проверять поверхность наклейки на предмет отсутствия второго слоя. Стоит понимать, что современная типография может печатать наклейки любой сложности даже на ПВХ слое.
- Валидация URL-адреса. При переходе по ссылке требуется проверить доменное имя на наличие ошибок, некорректных символов и соответствие официальному ресурсу. Соединение должно быть защищено протоколом HTTPS. Да и вообще проводить оплату через ссылку, которая генерируется после сканирования, небезопасно.
- Использование штатного ПО. Сканирование следует производить исключительно через встроенные сканеры банковских приложений или официальные программы, загруженные из доверенных магазинов (App Store, Google Play, RuStore, AppGallery).
- Ограничение вводимых данных. Платежная форма по QR-коду не должна содержать полей для ввода паспортных данных, паролей или CVV/CVC-кодов. Наличие таких полей является основанием для прекращения операции.
Помните! Что после сканирования мошеннического QR-кода возможно, что система предложит скачать вам .apk файл какого-либо приложения, которое, скорее всего, будет вредоносным. Особенную осторожность нужно применять при сканировании кодов с кикшеринга и переносных зарядных аккумуляторов. Лучше заранее установить соответствующее приложение от бренда.
А вы оплачиваете через QR-код?
Чтобы быть в курсе важных ИТ-новостей, подписывайтесь на мой канал в мессенджере MAX.