В начале 2022 года российские банки начнут внедрять возможность снятия денег в банкомате с чужой карты — даже если самой карты у человека нет. Об этом рассказал новостной ресурс «Известия».
Но безопасно ли это? Специалисты называют несколько рисков. Например, QR-код можно перехватить — скажем, сфотографировать с экрана смартфона человека в тот момент, когда он получил этот код. Другой способ — пересылка полученного кода «куда следует» при помощи вирусного софта. Кроме того, не исключена опасность «слива» данных через сотрудников банка. Эксперты даже опасаются подбора кода или ключа доступа, несмотря на то, что токен будет генерироваться единоразово и автоматически. К слову, пока неизвестно, можно ли будет воспользоваться тем же QR-кодом повторно — логика подсказывает, что он должен быть одноразовым.
Однако самая большая уязвимость такой системы — мошенничество с использованием социальной инженерии. Злоумышленники успешно заставляют своих жертв присылать данные их карт и совершать им переводы даже сейчас. Обычно мошенник по телефону сопровождает человека до самого конца схемы, которая сама по себе довольно сложна и включает множество нюансов. С внедрением возможности «обналичить» QR-код задача злоумышленников упростится — достаточно будет убедить человека создать код и отправить его им. Возможно, для защиты от такого рода преступной деятельности может быть эффективна некая система подтверждения операции — например, push-уведомление в момент снятия средств, которое потребует явного подтверждения от отправителя. Нечто подобное сейчас есть в Юmoney — сервис присылает push внутри приложения для подтверждения расходных операций с использованием кошелька.
