2020.11.30.

Mennyire biztonságos az azonnali QR-kódos fizetés? Mire figyeljünk?

Kategóriák:

Minél több hazai mobilbanki alkalmazásban válik elérhetővé az azonnali fizetési QR-kód olvasó, annál több webshopban, boltban, szolgáltatónál jelenhet meg az azonnali fizetés indítására alkalmas QR-kód. Várhatóan egyre többen teszik majd fel a kérdést, mennyire biztonságos az azonnali QR-kódos fizetés, számíthatunk-e csalók megjelenésére, mire figyeljünk oda az azonnali fizetésnél. A kérdések megválaszolásában az OTP Mobil szakemberei segítettek és bemutatták azt is, hogy milyen garanciákat nyújt a biztonsági elemekkel megerősített QR-kód.

Azonnali fizetésre alkalmas QR-kódot bárki előállíthat a Magyar Nemzeti Bank nyilvánosan elérhető útmutatója alapján. Az azonnali fizetési QR-kód beolvasására – a mobiltelefonon túl – szükség van olyan mobilalkalmazásra is, amely képes a QR-kódban található adatok alapján előállítani az átutalási megbízást. Erre jelen pillanatban 2+1 bank mobilbanki alkalmazása alkalmas.

A PSD2 irányelvnek köszönhetően megjelenhetnek ú.n. harmadik feles fizetés-kezdeményezési szolgáltatók (PISP) mobilalkalmazásai is, amelyeken keresztül szintén beolvashatjuk az azonnali fizetési QR-kódot és elindíthatjuk az azonnali átutalási megbízást. Függetlenül attól, hogy bank, vagy PISP szolgáltató mobilalkalmazásán keresztül olvassuk be a QR-kódot, az átutalási megbízás elindításához szükség van a tranzakció jóváhagyására (erős ügyfél-hitelesítéssel, kétfaktoros biztonsági eljárás keretében).

Az azonnali fizetési QR-kód beolvasását követően az átutalási megbízási űrlapon megjelenik a kedvezményezett neve, a kedvezményezett bankszámlaszáma és az átutalandó összeg forintban. Azt fontos tudnunk, hogy jelen pillanatban a bankok nem ellenőrzik, hogy a kedvezményezett neve és a kedvezményezett számlaszáma összetartoznak-e. Ezzel azért érdemes tisztában lennünk, mert a QR-kódból kiolvasható adatok megtévesztőek is lehetnek.

Kapcsolódó cikk:

Itt az MNB QR-kódos mobilfizetési útmutatója. Te mit fejlesztenél rá?, 2019.08.01.

Hogyan élhetnek vissza az azonnali fizetési QR-kóddal?

Mivel bárki előállíthat azonnali fizetés indítására alkalmas QR-kódot, ezért az is előfordulhat, hogy csalók megpróbálnak „trükkös” QR-kódot készíteni és ezen keresztül pénzt kicsikarni a megtévesztett ügyfelekből.

Az elmúlt években számtalan alkalommal hívták fel a lakosság figyelmét arra, hogy bankok, közműszolgáltatók nevében adathalász módszerekkel próbálják megszerezni ú.n. klónozott (megtévesztően hasonló) weboldalakon keresztül a bankkártyaadatainkat, netbanki belépési kódjainkat. A csalók várhatóan ilyen klónozott oldalakon helyezhetnek majd el azonnali fizetés indítására alkalmas QR-kódot is, amelynek beolvasását követően az átutalási megbízás megtévesztően valódinak tűnik majd. Hiába szerepel a kedvezményezett neve rovatban az általunk ismert szolgáltató neve, ha a kedvezményezett számlaszám a csalóé. Miután jelenleg a nyílt QR-kód kizárólag forint IBAN számlaszámra generálható le, az illetéktelenül megszerzett összeg, ezáltal a csaló kiléte is viszonylag könnyedén visszakövethető.

Elméletben előfordulhat, hogy csalók klónozott weboldalakon keresztül trükkös QR-kódot alkalmaznak és az óvatlan felhasználó a QR-kód beolvasását követően úgy hiszi, a közműszolgáltatónak utalt át. Ennek a csalási esetnek a 100%-os megakadályozására dolgozta ki az OTP Mobil az MNB útmutatójának megfelelően a biztonsági elemekkel megerősített azonnali fizetési QR-kódot, amihez a bankok, kereskedők, szolgáltatók, fizetési szolgáltatók, technikai aggregátorok is csatlakozhatnak.

Minden új szolgáltatás bevezetésekor kiemelten fontos az ügyfelek bizalmának elnyerése, és az esetleges visszaélések megakadályozása, amihez elengedhetetlen a 100%-os biztonság. Ezeket a célokat együttesen teljesíti az OTP Mobil azonnali fizetési megoldása, az Instant Transzfer.

Az OTP Mobil szakembereivel összegyűjtöttük, mire érdemes odafigyelni.

Kapcsolódó cikk:

Leteszteltük! Így működik a QR-kódos azonnali fizetés a SimplePay felületeken, 2020.07.20.

1. Milyen felhasználási eseteket azonosított az OTP Mobil, amikor visszaélésre kerülhet sor és hogyan?

OTP Mobil: Az adathalász támadások mellett a hamis fizetési URL feltüntetése jelentheti a legnagyobb veszélyforrást a felhasználók számára. Elég olyan egyszerű példákra gondolni, mint egy adott szolgáltató honlapjára megtévesztésig hasonló felületen történő QR-kód megjelenítése, amely nyilvánvalóan egy teljesen eltérő számlaszámra – mint ahova a fizető fél szeretné átutalni az összeget – irányítja az azonnali átutalási tranzakciót.

Emellett fizikai környezetben is széles a skála, egy jól megszerkesztett számlalevélre elhelyezett QR-kód is hasonló eredményességgel tévesztheti meg az óvatlan felhasználókat.

2. Mit jelent az, hogy az OTP Mobil 100%-os garanciát vállal a biztonsági elemekkel megerősített azonnali fizetési QR-kóddal végrehajtott tranzakciókra?

OTP Mobil: A biztonsági funkciónak köszönhetően az OTP Mobil az Instant transzfert használó vásárlók felé garantálni tudja a csalárd célú QR-kód generálásnak tiltását, azaz biztosítjuk, hogy csak megbízható kereskedők használják az Instant transzfer szolgáltatásunkat.

Emellett az OTP Mobil a kártyás tranzakcióknál már bevett visszatérítési (chargeback) folyamatot is biztosítja a vásárlók számára.

Annak érdekében, hogy ezt a garanciát az OTP Mobil be tudja vállalni, teljeskörű kereskedői kockázatértékelést végez minden szerződéskötés előtt, biztosítva ezzel azt, hogy csak olyan partnerek használhassák a szolgáltatásunkat, akik üzletileg is megfelelnek az OTP Mobil által elvárt követelményrendszernek.

3. Mit jelent az, hogy biztonsági elemmel lett megerősítve az azonnali fizetési QR-kód?

OTP Mobil: Az OTP Mobil az MNB által publikált QR ajánlást egészítette ki egy plusz biztosági faktorral. Ez azt jelenti, hogy a publikusan összeállítható QR-kód adatcsomagot egy 2048 BIT-es RSA titkosítással látjuk el, azt pedig ellenőrzi és hitelesíti a számlavezető bank.

Az RSA titkosítás miatt a felhasználók jelenleg csak az OTP mobilbanki alkalmazásból tudják beolvasni a QR kódot, de

az összes pénzintézet számára díjmentesen elérhetővé tettük az implementáció lehetőségét. Az eddigi egyeztetések alapján több hazai bank is nyitott a csatlakozásra.

4. Hogyan segíti a deeplinkes megoldás a biztonság növelését?

OTP Mobil: A deeplink alapú megoldás kapcsán nincs szükség QR-kód megjelenítésére és beolvasására. Mobil környezetben kezdeményezett tranzakciók során a funkció kiválasztását követően a felhasználó automatikusan átirányításra kerül a mobilbanki alkalmazásának jóváhagyási felületére.

Amennyiben több olyan alkalmazás is elérhető a készüléken, amelyek alkalmasak a mobilbanki átirányításra, akkor a felhasználó választása alapján folytatódik a folyamat.

A funkció kialakítására a bankok együttműködésével kerülhet sor, így teljes mértékben kizárt a visszaélés lehetősége.

Természetesen erre a szolgáltatásra is igaz, hogy kizárólag olyan kereskedők felületén válik elérhetővé, akik átestek a korábban említett KYC eljáráson.

További részletek az Instant Transzferrel kapcsolatban kereskedők, bankok, technikai aggregátorok számára a SimplePay Azonnali Fizetési kiadványokban érhetők el.

Címlapfotó forrása: OTP Mobil Kft.

Címkék:

azonnali fizetés | Instant Transzfer | OTP Mobil | QR-kódos fizetés

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description