Оплата по QR-коду: как не потерять деньги

Автор страницы

Арнур Еркенбаев

С 2018 года штатный эксперт редакции портала Zanimaem.kz с опытом работы более 11 лет в финансовой сфере.
Работал в МФО КазКредитЛайн и Нурбанке. Изучал финансы и кредит в КАЗНУ. Отвечает за публикации текстов, проверку информации, аналитику.

Обновлено 20.02.2023 Автор: Арнур Еркенбаев

QR-коды активно используются в разных сферах – при оплате товаров и услуг офлайн и в интернете, при денежных переводах в межбанковской системе. В изображении кода можно зашифровать всё что угодно – ссылку на сайт, важную информацию или реквизиты и сумму для перевода денег. Но тем, кто платит таким способом, важно помнить о безопасности и соблюдать ряд простых правил.

Механизм оплаты по QR-коду

QR-коды появились в 1994 году – их стали использовать на одном из заводов бренда Toyota, чтобы повысить скорость сканирования запчастей на авто. По сути, они заменили стандартные штрих-коды, которые хуже считывались и замедляли процесс сортировки. Сущность QR заложена в его названии: «quick response» переводится как быстрое реагирование. Ещё одна его особенность – больше информации, чем, например, артикул товара.

Следующие 8 лет такие коды использовали только в промышленности, а в 2022 году был выпущен первый смартфон, в который встроили сканер QR-кода. Уже тогда такие изображения стали появляться в виде наклеек на товарах, в рекламных видеороликах, в туристических местах, газетах и журналах.

Как это работает при совершении оплаты:

• предприниматель подключает РКО в банке, в рамках которого предоставляется услуга оплаты по QR-коду;
• сотрудники банка генерируют статический код;
• его предприниматель размещает, например, в кассовой зоне своего магазина или на стойке администратора в салоне красоты;
• когда покупатель хочет оплатить услугу или товар, он входит в банковское приложение, сканирует код;
• в этот момент он генерируется в реквизиты счёта, на который нужно перевести сумму;
• дело остаётся за малым – достаточно провести операцию и подтвердить её кодом от банка.

Кроме статических существуют ещё и динамические коды – это не просто набор реквизитов, на которые покупатели перечисляют средства, а отдельный код для каждой транзакции, обычно уже с суммой покупки.

Для бизнеса это тоже выгодно. Например, когда Qazkom вместе с Visa подключили оплату по QR-кодам в сервисе Homebank Рау, используемом клиентами Halyk Bank, бизнесу удалось отказаться от части POS-терминалов. При этом одно такое устройство стоит минимум 100000 тенге, в то время как оплата через QR-код происходит без комиссии.

Безопасно ли использовать QR-код

Безопасность этой технологии волнует многих покупателей, ведь в момент сканирования QR-кода покупатель не знает, что откроется на смартфоне – реквизиты для оплаты или фишинговый сайт, который запустит вирус и снимет деньги с карты.

Безопасность транзакции зависит от нескольких факторов, в том числе от типа кода:

1. Статистические. Их подменить легче, поскольку они генерируются один раз и навсегда, после чего размещаются на кассах в магазинах или отдельных товарах, например. Технически здесь есть лазейка для мошенников, которые могут, например, подменить QR на товаре, наклеив поверх свой.
2. Динамические. Они более безопасны – формируются «в моменте», например, на кассовом аппарате прямо перед покупателем. Здесь риск вмешательства мошенников минимален. Ещё один плюс – в динамических кодах уже заложена сумма оплаты, поэтому её не нужно вводить вручную, а риск ошибиться и перечислить больше или меньше минимален.

Оплата с одноразовым QR-кодом абсолютно безопасна, как и любая другая плата, например, при покупках в интернет-магазине.

Тем не менее, проблемы остаются. Так, в 2017 году в Китае (в Гуанчжоу) зафиксировали случаи мошенничества с QR-кодами, в результате которых держатели карт потеряли примерно 90 млн юаней.

В этой технологии немало проблем:

1. Ни один человек никогда не отличит «на глаз» два QR-кода. Наборы чёрных точек, собранных в квадрат, практически идентичны при том, что в них зашифрована разная информация.
2. Подлинный и «вредоносный» QR-код не будут ничем отличаться. Покупатель не заметит подмены, пока не откроет их.
3. Через QR-коды могут передаваться вредоносные программы, например троянские или вирусы. Их могут внедрять в сам код или на более позднем этапе, когда, например, человек переходит по ссылке и вводит свои данные.
4. Создать QR-код очень легко – для этого не нужно иметь специальных знаний и оборудование. Этим вполне могут пользоваться мошенники. Фишинг на их основе даже получил особое название – QRishing.

Самый простой способ обмануть покупателя – поместить один код поверх другого. Когда мошенник получает доступ к смартфону, он может внедрить в него вредоносное программное обеспечение, а потом получить доступ к конфиденциальной информации, например, логину и паролю для входа в мобильное приложение банка, где, в свою очередь, содержатся данные о счетах и картах.

О чем нужно помнить покупателям

Используя QR-код, причём не только для оплаты, но и в музеях, ресторанах и других заведениях, важно помнить о таких моментах:

1. Используйте надёжные источники. Если код висит в кассовой зоне магазина, вряд ли его смог подменить мошенник, значит, сканирование безопасно. В то же время на сайте или у входа в заведение на улице заменить QR легче.
2. Если код предполагает переход по ссылке, внимательно рассмотрите URL. Помните, что мошенники иногда используют подмену всего одной буквы или символа, за счёт чего внешне ссылка напоминает настоящую, например, банка или другой известной организации.
3. Некоторые сайты, например китайская торговая площадка Alibaba, внедрили специальные системы защиты при оплате QR-кодами. Если покупатель оплачивает таким способом, но транзакция кажется подозрительной, будет всплывать уведомление с предупреждением. Не игнорируйте их.
4. Если есть выбор, использовать одноразовый или статический QR-коды, отдавайте предпочтение первым. Они более безопасны, а подменить их практически невозможно.
5. Кроме ссылок проверяйте сумму перевода и данные о получателе. Здесь должно быть полное соответствие – например, при оплате штрафов в качестве получателя не может значиться частное лицо. Если QR-код используется в магазине, то и получателем должны быть ИП или юридическое лицо.
6. Для проверки кода существуют специальные приложения для устройств на Android и iOS. Например, Kaspersky QR Scanner – он сканирует код и оповещает, если тот содержит вредоносный контент. Конечно, это увеличивает время операции, но защищает покупателя от мошенников.

Есть и ложка дёгтя в бочке мёда – QR-кодами могут пользоваться не все. Для того чтобы оплатить таким способом, у покупателя должен быть смартфон с камерой, специальная программа для сканирования кодов, банковское приложение и стабильное интернет-соединение. Именно с последним чаще всего возникают проблемы, например, когда покупатель платит в помещении, где слабый интернет – стационарный или мобильный.

QR-коды дают много преимуществ для покупателей – позволяют не носить с собой наличные деньги или пластиковые карты, смартфон не должен быть обязательно оснащён NFC, как для бесконтактной оплаты, вводить реквизиты получателя вручную не нужно, а сами платежи происходят мгновенно, как и возврат денег в случае необходимости. При соблюдении простых правил безопасности такого способа оплаты ваши данные и сбережения на счетах будут надёжно защищены.

Арнур Еркенбаев