2024. október 15.
FinTechShow

2024. november 26.
BankTechShow

2020.11.30.

Mennyire biztonságos az azonnali QR-kódos fizetés? Mire figyeljünk?

Szerző:

Kategóriák:

Minél több hazai mobilbanki alkalmazásban válik elérhetővé az azonnali fizetési QR-kód olvasó, annál több webshopban, boltban, szolgáltatónál jelenhet meg az azonnali fizetés indítására alkalmas QR-kód. Várhatóan egyre többen teszik majd fel a kérdést, mennyire biztonságos az azonnali QR-kódos fizetés, számíthatunk-e csalók megjelenésére, mire figyeljünk oda az azonnali fizetésnél. A kérdések megválaszolásában az OTP Mobil szakemberei segítettek és bemutatták azt is, hogy milyen garanciákat nyújt a biztonsági elemekkel megerősített QR-kód.

Azonnali fizetésre alkalmas QR-kódot bárki előállíthat a Magyar Nemzeti Bank nyilvánosan elérhető útmutatója alapján. Az azonnali fizetési QR-kód beolvasására – a mobiltelefonon túl – szükség van olyan mobilalkalmazásra is, amely képes a QR-kódban található adatok alapján előállítani az átutalási megbízást. Erre jelen pillanatban 2+1 bank mobilbanki alkalmazása alkalmas.

A PSD2 irányelvnek köszönhetően megjelenhetnek ú.n. harmadik feles fizetés-kezdeményezési szolgáltatók (PISP) mobilalkalmazásai is, amelyeken keresztül szintén beolvashatjuk az azonnali fizetési QR-kódot és elindíthatjuk az azonnali átutalási megbízást. Függetlenül attól, hogy bank, vagy PISP szolgáltató mobilalkalmazásán keresztül olvassuk be a QR-kódot, az átutalási megbízás elindításához szükség van a tranzakció jóváhagyására (erős ügyfél-hitelesítéssel, kétfaktoros biztonsági eljárás keretében).

Az azonnali fizetési QR-kód beolvasását követően az átutalási megbízási űrlapon megjelenik a kedvezményezett neve, a kedvezményezett bankszámlaszáma és az átutalandó összeg forintban. Azt fontos tudnunk, hogy jelen pillanatban a bankok nem ellenőrzik, hogy a kedvezményezett neve és a kedvezményezett számlaszáma összetartoznak-e. Ezzel azért érdemes tisztában lennünk, mert a QR-kódból kiolvasható adatok megtévesztőek is lehetnek.

Hogyan élhetnek vissza az azonnali fizetési QR-kóddal?

Mivel bárki előállíthat azonnali fizetés indítására alkalmas QR-kódot, ezért az is előfordulhat, hogy csalók megpróbálnak „trükkös” QR-kódot készíteni és ezen keresztül pénzt kicsikarni a megtévesztett ügyfelekből.

Az elmúlt években számtalan alkalommal hívták fel a lakosság figyelmét arra, hogy bankok, közműszolgáltatók nevében adathalász módszerekkel próbálják megszerezni ú.n. klónozott (megtévesztően hasonló) weboldalakon keresztül a bankkártyaadatainkat, netbanki belépési kódjainkat. A csalók várhatóan ilyen klónozott oldalakon helyezhetnek majd el azonnali fizetés indítására alkalmas QR-kódot is, amelynek beolvasását követően az átutalási megbízás megtévesztően valódinak tűnik majd. Hiába szerepel a kedvezményezett neve rovatban az általunk ismert szolgáltató neve, ha a kedvezményezett számlaszám a csalóé. Miután jelenleg a nyílt QR-kód kizárólag forint IBAN számlaszámra generálható le, az illetéktelenül megszerzett összeg, ezáltal a csaló kiléte is viszonylag könnyedén visszakövethető.

Elméletben előfordulhat, hogy csalók klónozott weboldalakon keresztül trükkös QR-kódot alkalmaznak és az óvatlan felhasználó a QR-kód beolvasását követően úgy hiszi, a közműszolgáltatónak utalt át. Ennek a csalási esetnek a 100%-os megakadályozására dolgozta ki az OTP Mobil az MNB útmutatójának megfelelően a biztonsági elemekkel megerősített azonnali fizetési QR-kódot, amihez a bankok, kereskedők, szolgáltatók, fizetési szolgáltatók, technikai aggregátorok is csatlakozhatnak.

Minden új szolgáltatás bevezetésekor kiemelten fontos az ügyfelek bizalmának elnyerése, és az esetleges visszaélések megakadályozása, amihez elengedhetetlen a 100%-os biztonság. Ezeket a célokat együttesen teljesíti az OTP Mobil azonnali fizetési megoldása, az Instant Transzfer.

Az OTP Mobil szakembereivel összegyűjtöttük, mire érdemes odafigyelni.

1. Milyen felhasználási eseteket azonosított az OTP Mobil, amikor visszaélésre kerülhet sor és hogyan?

OTP Mobil: Az adathalász támadások mellett a hamis fizetési URL feltüntetése jelentheti a legnagyobb veszélyforrást a felhasználók számára. Elég olyan egyszerű példákra gondolni, mint egy adott szolgáltató honlapjára megtévesztésig hasonló felületen történő QR-kód megjelenítése, amely nyilvánvalóan egy teljesen eltérő számlaszámra – mint ahova a fizető fél szeretné átutalni az összeget – irányítja az azonnali átutalási tranzakciót.

Emellett fizikai környezetben is széles a skála, egy jól megszerkesztett számlalevélre elhelyezett QR-kód is hasonló eredményességgel tévesztheti meg az óvatlan felhasználókat.

2. Mit jelent az, hogy az OTP Mobil 100%-os garanciát vállal a biztonsági elemekkel megerősített azonnali fizetési QR-kóddal végrehajtott tranzakciókra?

OTP Mobil: A biztonsági funkciónak köszönhetően az OTP Mobil az Instant transzfert használó vásárlók felé garantálni tudja a csalárd célú QR-kód generálásnak tiltását, azaz biztosítjuk, hogy csak megbízható kereskedők használják az Instant transzfer szolgáltatásunkat.

Emellett az OTP Mobil a kártyás tranzakcióknál már bevett visszatérítési (chargeback) folyamatot is biztosítja a vásárlók számára.

Annak érdekében, hogy ezt a garanciát az OTP Mobil be tudja vállalni, teljeskörű kereskedői kockázatértékelést végez minden szerződéskötés előtt, biztosítva ezzel azt, hogy csak olyan partnerek használhassák a szolgáltatásunkat, akik üzletileg is megfelelnek az OTP Mobil által elvárt követelményrendszernek.

3. Mit jelent az, hogy biztonsági elemmel lett megerősítve az azonnali fizetési QR-kód?

OTP Mobil: Az OTP Mobil az MNB által publikált QR ajánlást egészítette ki egy plusz biztosági faktorral. Ez azt jelenti, hogy a publikusan összeállítható QR-kód adatcsomagot egy 2048 BIT-es RSA titkosítással látjuk el, azt pedig ellenőrzi és hitelesíti a számlavezető bank.

Az RSA titkosítás miatt a felhasználók jelenleg csak az OTP mobilbanki alkalmazásból tudják beolvasni a QR kódot, de

az összes pénzintézet számára díjmentesen elérhetővé tettük az implementáció lehetőségét. Az eddigi egyeztetések alapján több hazai bank is nyitott a csatlakozásra.

4. Hogyan segíti a deeplinkes megoldás a biztonság növelését?

OTP Mobil:deeplink alapú megoldás kapcsán nincs szükség QR-kód megjelenítésére és beolvasására. Mobil környezetben kezdeményezett tranzakciók során a funkció kiválasztását követően a felhasználó automatikusan átirányításra kerül a mobilbanki alkalmazásának jóváhagyási felületére.

Amennyiben több olyan alkalmazás is elérhető a készüléken, amelyek alkalmasak a mobilbanki átirányításra, akkor a felhasználó választása alapján folytatódik a folyamat.

A funkció kialakítására a bankok együttműködésével kerülhet sor, így teljes mértékben kizárt a visszaélés lehetősége.

Természetesen erre a szolgáltatásra is igaz, hogy kizárólag olyan kereskedők felületén válik elérhetővé, akik átestek a korábban említett KYC eljáráson.

További részletek az Instant Transzferrel kapcsolatban kereskedők, bankok, technikai aggregátorok számára a SimplePay Azonnali Fizetési kiadványokban érhetők el.

Címlapfotó forrása: OTP Mobil Kft.

Címkék:
blank