В начале 2022 года российские банки начнут внедрять возможность снятия денег в банкомате с чужой карты — даже если самой карты у человека нет. Об этом рассказал новостной ресурс «Известия».
Система будет работать при помощи QR-кодов. В мобильном приложении своего банка пользователь сможет сгенерировать уникальный QR-код и отправить его своему условному другу. Получатель придет к совместимому банкомату, отсканирует код и получит наличные, которые спишутся со счета отправителя кода. Пополнение карты или счета будет работать таким же способом. Эксперты считают, что в такой системе очень много достоинств: это быстро, удобно и иногда может очень выручить человека, попавшего в сложные обстоятельства.
Но безопасно ли это? Специалисты называют несколько рисков. Например, QR-код можно перехватить — скажем, сфотографировать с экрана смартфона человека в тот момент, когда он получил этот код. Другой способ — пересылка полученного кода «куда следует» при помощи вирусного софта. Кроме того, не исключена опасность «слива» данных через сотрудников банка. Эксперты даже опасаются подбора кода или ключа доступа, несмотря на то, что токен будет генерироваться единоразово и автоматически. К слову, пока неизвестно, можно ли будет воспользоваться тем же QR-кодом повторно — логика подсказывает, что он должен быть одноразовым.
Однако самая большая уязвимость такой системы — мошенничество с использованием социальной инженерии. Злоумышленники успешно заставляют своих жертв присылать данные их карт и совершать им переводы даже сейчас. Обычно мошенник по телефону сопровождает человека до самого конца схемы, которая сама по себе довольно сложна и включает множество нюансов. С внедрением возможности «обналичить» QR-код задача злоумышленников упростится — достаточно будет убедить человека создать код и отправить его им. Возможно, для защиты от такого рода преступной деятельности может быть эффективна некая система подтверждения операции — например, push-уведомление в момент снятия средств, которое потребует явного подтверждения от отправителя. Нечто подобное сейчас есть в Юmoney — сервис присылает push внутри приложения для подтверждения расходных операций с использованием кошелька.
