Первое правило безопасности не сканируй qr code
В России активно внедряются платежи по QR-кодам. Рассказываем, чем это удобно и о каких опасностях стоит помнить.
Оплата покупок одним касанием банковской карточки или смартфона уже стала обычным делом. Однако в небольших магазинах и киосках часто все равно требуют наличку — не всем по карману POS-терминалы. Впрочем, скоро современные технологии дойдут и до малого бизнеса: систему оплаты по QR-кодам, не требующую специального оборудования, в нашей стране запускают сразу три крупных организации — Центробанк, Сбербанк и Visa. Рассказываем, как работает эта система, в чем ее удобство и о каких опасностях стоит помнить.
QR-коды — от Японии до России
QR-код — по сути тот же штрихкод, только может хранить больше информации и при этом легко распознается считывающим оборудованием. Его изобрели в Японии четверть века назад, когда выяснилось, что существующие виды штрихкодов не отвечают потребностям местной промышленности.
Изначально QR-кодами пользовались автопроизводители для оптимизации рабочих процессов. Однако с развитием Интернета и мобильных гаджетов эта технология нашла куда более широкое применение: с ее помощью обмениваются ссылками и контактами, отправляют SMS, скачивают приложения и так далее. А еще — оплачивают покупки.
Небывалую популярность платежи с помощью QR-кодов приобрели в Китае. Жители Поднебесной пользуются этой технологией везде — от транспорта до уличных палаток с едой. В стране действует несколько платежных систем, которые ее поддерживают: Alipay, WeChat Pay, UnionPay.
Своя система QR-платежей существует в Индии, хотя и не применяется так широко. Постепенно квадратные коды завоевывают рынок и в других азиатских странах, например в Южной Корее. Кроме того, эту технологию поддерживают некоторые крупные международные платежные системы вроде PayPal.
В России тоже уже переводят деньги с помощью QR-кодов. Так, в некоторых регионах их можно встретить на квитанциях для оплаты коммунальных услуг, а клиенты банка ВТБ могут рассчитываться между собой, создавая и сканируя такие коды. С февраля 2019 года QR-платежи принимают также в российских ресторанах сети Burger King.
Как работают QR-платежи
Существует два способа оплатить покупку с помощью QR-кода.
Вариант 1. QR-код создает продавец. Это может быть статический код, содержащий информацию о его счете, или динамический — с информацией о транзакции.
Статический код можно распечатать на бумаге и вывесить или установить на кассе. Покупатель сканирует этот код при помощи платежного приложения — на экране смартфона отображается получатель перевода, — вводит сумму покупки и подтверждает оплату.
Вариант 2.QR-код создает покупатель при помощи платежного приложения. В таком случае код всегда одноразовый. Продавец сканирует его с помощью специального устройства и со счета покупателя списывается нужная сумма.
Конкретные торговые точки и платежные приложения могут поддерживать как оба варианта оплаты, так и только один из них.
Чем удобны QR-коды?
QR-платежи имеют несколько преимуществ перед другими способами оплаты покупок. В первую очередь, они позволяют не носить с собой наличные деньги и банковские карты. Все необходимые для проведения транзакции данные доступны из платежного приложения.
При этом в отличие от систем на основе технологии NFC, таких как Apple Pay или Google Pay, в случае QR-платежей нет никаких особых требований к устройству вроде наличия NFC-чипа. Установить платежное приложение, поддерживающее QR-коды, вы сможете практически на любой смартфон под управлением iOS или Android. Главное — чтобы программа была совместима с вашей версией операционной системы.
Привлекательны QR-платежи и для предпринимателей. Малый бизнес сможет сэкономить на приобретении банковского терминала: даже сканер созданных покупателем QR-кодов стоит в разы дешевле. Если же компания предпочитает использовать собственный код, ей достаточно напечатать его на обычном листе бумаги.
Кроме того, QR-коды могут снизить расходы предпринимателей на комиссию банков за прием безналичных платежей. Так, Центробанк планирует установить предельное значение комиссии на уровне 0,4–0,5%, тогда как владельцы POS-терминалов, работающих с пластиковыми картами, отчисляют финансовым организациям 1,5–2,5% от суммы транзакции.
Воровство с помощью QR-кодов
Как показал опыт внедрения QR-кодов в Китае, технологию с успехом освоили не только торговцы, но и мошенники. С ее помощью киберпреступники успешно крадут средства с чужих счетов.
Проблема в том, что отличить QR-код магазина от QR-кода злоумышленника на глаз невозможно. Если торговая точка использует статический код, киберпреступник может просто заклеить его своим. Создать QR-код с личным счетом — не проблема: приложения-генераторы можно бесплатно скачать на смартфон или найти онлайн. И если в крупном магазине может быть сложно улучить момент, когда никто не видит, что происходит на кассе, то дождаться, пока отвлечется уличный продавец, или подменить код в автоматизированной торговой точке не так трудно.
Например, студент из китайской провинции Гуандун решил покататься на велосипеде. В пункте проката возле общежития он просканировал QR-код, не заметив, что тот наклеен поверх другого. Молодой человек, не задумываясь, провел платеж, но замок на велосипеде не открылся: деньги ушли мошенникам.
Похожий инцидент произошел и в Шанхае. Водитель обнаружил на автомобиле штрафную квитанцию за неправильную парковку и оплатил ее по напечатанному на ней QR-коду. Через несколько дней он получил напоминание от полиции о все еще неуплаченном штрафе.
Угон QR-кода из-под носа покупателя
Одноразовые QR-коды выглядят более надежными, однако и ими могут злоупотребить. Например, в Китае клиент ресторана после окончания трапезы попросил счет и сгенерировал QR-код в своем смартфоне, чтобы расплатиться. Пока он рассчитывался, ему пришло уведомление о снятии средств со счета, однако получателем почему-то значилась бильярдная.
Бережем счет
В Китае проблему воровства через QR-коды решают радикально: власти ввели ограничение на транзакции с ними. Граждане страны могут потратить таким образом не больше 500 юаней (чуть меньше 5000 рублей) с одного аккаунта в день. Однако мы не можем сейчас сказать, какие меры безопасности примут отечественные банки. Кроме того, лимит на покупки через QR-код не защитит вас от потерь в пределах этого лимита.
Во многих ресторанах бумажное меню заменили сканируемыми QR-кодами. Эта технология позволяет клиентам открывать цифровые меню на своих телефонах, а в некоторых случаях даже делать онлайн-заказ.
По данным New York Times, такие QR-коды собирают личную информацию о клиентах, например, данные о заказе, номер телефона и электронные письма. Это необходимо для того, чтобы рестораны и кафе могли проанализировать поведение людей и составить их портрет.
Базы данных, созданные на основе полученной информации, могут использоваться для маркетинговых акций, таких как персонализированные скидки или рекомендации. При этом эксперты по кибербезопасности отмечают, что подобное внедрение QR-кодов может поставить под угрозу права посетителей кафе и ресторанов на конфиденциальность.
«В QR-код можно запрограммировать всё, что угодно — от сбора данных текущего местоположения до разрешения осуществить звонок или даже платежную транзакцию», — рассказал исследователь ESET Амер Овайда.
По его словам, основная проблема при считывании QR-кода большинством сканеров заключается в том, что переход по ссылке происходит автоматически, без запроса разрешения на дополнительные действия.
Самая критичная уязвимость такой технологии — это так называемая MITM-атака, в ходе которой происходит компрометация QR-кода, рассказал руководитель отдела анализа данных и машинного обучения CrossTech Solutions Group Роман Титов.
«Как следствие, пользователь вместо получения меню ресторана переходит или скачивает вредоносный ресурс со всеми дальнейшими последствиями», — пояснил Титов.
Если говорить про конфиденциальность персональных данных, собираемых заведениями с помощью QR-кодов, то здесь, по мнению эксперта, важен вопрос о защите персональных данных.
«Они могут использоваться для безобидной персонифицированной рекламы обновленного сезонного меню. А могут продаваться «серым» организациям для холодных звонков и рассылок или использоваться в личных корыстных целях.
Здесь спасение утопающих — дело рук самих утопающих. Необходимо внимательно читать чек-боксы в согласии об использовании персональных данных, в которые мы ставим галочки.
А также стараться не обедать и не переходить по QR-кодам в сомнительных заведениях, где заведомо понятно, что к вопросу безопасности не относятся серьезно», — предупредил эксперт.
По словам ИБ-евангелиста компании Avast Луиса Корронса, проблема заключается даже не в том, что рестораны собирают данные о клиентах в маркетинговых целях, а в вопросе их хранения.
«Велика вероятность того, что в какой-то момент компания может быть взломана, база данных может быть украдена или может произойти утечка. Поэтому мы рекомендуем попытаться свести к минимуму данные, которыми вы делитесь, и делать это только при крайней необходимости», — рассказал Корронс.
Как рассказал «Газете. Ru» руководитель направления по поиску уязвимостей фирмы Check Point Software Technologies Одед Вануну единственный вариант защититься — это не пользоваться QR-кодами и просить бумажное меню.
«Но если вы все-таки зашли на сайт, то не кликайте на информацию, которая требует ваши пароли, не загружайте документы или приложения с этого сайта, не заполняйте никакие формы и не вносите на нем свои личные данные», — посоветовал эксперт.
Россияне начали выходить на митинги против введения QR-кодов. Граждане не хотят становиться цифровыми рабами и жить в обществе, где человека лишают права распоряжаться собственным здоровьем. Митингующие задают три, казалось бы, простых вопроса: «Насколько законны распоряжения (указы) губернаторов о введении QR-кодов?»; «Наделены ли охранники, кондукторы, вахтёры, официанты правом проверять паспорт?»; «Почему при добровольной вакцинации государство все риски перекладывает на плечи вакцинируемых?». ForPost постарался найти на них ответы.
А вы кто?
Оценивая накал ковидных страстей в регионах, директор Международного института политической экспертизы Евгений Минченко сомневается, что возникшее протестное движение пойдёт по следам пенсионной реформы и сторонников «берлинского пациента». Митинги против введения QR-кодов «будут не столь многочисленными». Пока недовольство граждан поддерживает только КПРФ, так как «кюаркодация населения» — важная для избирателей тема.
Также непонятно, что делать, если произойдёт сбой в системе. Ранее такое уже случалось: утром 8 ноября срок действия QR-кодов неожиданно изменился с 12 до 6 месяцев. Многие граждане не смогли попасть на работу, а портал госуслуг «встал» из-за резкого наплыва посетителей. В Минцифры и Минздраве поспешили заверить, что QR-коды «действительны в течение всего срока». Сбой объяснили техническими работами на портале.
Насколько законны распоряжения (указы) губернаторов о введении QR-кодов?
Этот вопрос стал настоящим яблоком раздора между контролёрами и потенциальными обладателями QR-кодов. Граждане уверены: распоряжение губернаторов не имеет юридической силы, следовательно, предъявляемые к ним требования незаконны.
Отчасти люди правы, уверен адвокат, кандидат юридических наук Андрей Некрасов:
«Если это распоряжение, то оно носит рекомендательный характер. Вам рекомендовали, вы не послушались, за это вам ничего не должно быть. Если на основании распоряжения главы региона вам «перекрывают кислород», то жалуйтесь в Роспотребнадзор на ущемление своих прав. В ведомстве должны принять меры. Распоряжение, как правило, — это не нормативно-правовой, а индивидуально-правовой акт. Он носит рекомендательный характер. Такие распоряжения (о введении QR-кодов), скорее всего, — это превышение полномочий со стороны органов исполнительной власти», — сказал Некрасов.
Однако рано хлопать в ладоши и кричать «ура». Есть одна правовая хитрость, на которую пошли исполнительная и законодательная власти. Решение о введении QR-кодов имеет право принимать региональная дума. Только после внесения соответствующих поправок в региональный закон ограничения начинают действовать.
Но если региональные депутаты передали свои полномочия губернатору, он имеет право издавать указ о введении QR-кодов. В данном случае граждане обязаны подчиниться требованиям региональной власти. Так, например, произошло в Москве. По данным Некрасова, столичного градоначальника такими полномочиями наделила Московская городская дума.
«Но если глава региона сделал рекомендательные меры обязательными, при этом региональный парламент не наделил его полномочиями издавать такие указы, то, господа юристы, идите в суд и оспаривайте такие решения», — пояснил адвокат.
Некрасов затруднился пояснить, в каких регионах могла сложиться такая правовая коллизия. За 85-ю субъектами федерации уследить крайне сложно. Поэтому граждане должны внимательно изучить региональное законодательство, связанное с исполнительной властью, чтобы понять, насколько требования по QR-кодам законны.
Наделены ли охранники, кондукторы, вахтёры, официанты правом проверять паспорт?
Адвокат, кандидат юридических наук Андрей Некрасов отметил: этот вопрос с весны является дискуссионным. Чёткого ответа на него до сих пор нет.
Исполнение указа о введении QR-кодов возложено на организации, которые подпадают под вводимые ограничения. К ним относятся бизнес, государственные, муниципальные, кредитные учреждения.
«В рамках своей хозяйственной, коммерческой деятельности руководство конкретного предприятия, объекта издаёт локальный акт, которым наделяет охранника, сотрудника ЧОПа, инспектора полномочиями проверять QR-коды. С юридической точки зрения — всё вполне законно. Если охранники или кондукторы не будут требовать показать паспорт, то не сработают QR-коды, следовательно, будет нарушен указ главы региона», — сказал Некрасов.
Экс-председатель Совета при президенте РФ по развитию гражданского общества и правам человека, правозащитник, юрист Михаил Федотов понимает, почему возмущаются граждане, когда охранник торгового центра просит показать паспорт. Безусловно, «это нарушение прав», но в экстренных ситуациях, например, в пандемию, по-другому никак нельзя.
«В обычных ситуациях права человека должны соблюдаться в полном объёме. Но в экстраординарных ситуациях права неминуемо становятся первой жертвой. Это понимают в Совете Европы, в Европейском суде по правам человека и в наших властных структурах. Пандемия коронавируса затронула весь мир. Миллионы людей умерли в результате болезни, поэтому и меры должны быть приняты экстраординарные», — сказал ForPost Федотов.
Безусловно, при введении ограничений должна быть учтена эпидемиологическая ситуация в конкретном регионе. Если в небольшом селе нет ни одного заболевшего, то и вводить QR-коды там не нужно, считает Федотов.
«Но если это город, в котором число заболевших измеряется сотнями, а то и тысячами, то, конечно, там нужны меры, которые ограничат перемещение людей, увеличат социальную дистанцию. Безусловно, это нарушает права человека. Но эти ущемления должны быть только в тех регионах, где медицина не справляется», — добавил правозащитник.
Он подчеркнул: ограничения, вводимые властями, должны носить временный характер. Когда закончится пандемия, их необходимо устранить.
«Для меня это совершенно очевидно», — сказал Федотов.
Почему при добровольной вакцинации государство все риски перекладывает на плечи вакцинируемых?
По рискам вакцинации мало понятной структурированной информации, а учитывая, что образование «в стране просело», граждане склонны доверять экспертам с сомнительной репутацией, а не государству. Поэтому, уверен адвокат, кандидат юридических наук Андрей Некрасов, граждане отказываются понимать, что заполнение информационного согласия перед прививкой от коронавируса — это «не прихоть российских врачей, а общемировая практика», от которой «системе здравоохранения ни в коем случае не стоит отказываться».
«Это (заполнение информационного согласия на вакцинацию) так называемое медицинское право. Без этого документа у вас даже кровь из вены взять не могут. Это совершенно строжайшие вещи. Другое дело, что это типовой документ, который не несёт для человека большой смысловой нагрузки. Он просто юридически раскрепощает медицинскую организацию, но по-другому никак», — уточнил адвокат, кандидат юридических наук Андрей Некрасов.
Просьба заполнить информационное согласие, отметил собеседник ForPost, — это «стандартная ситуация практически при любых медицинских манипуляциях».
«Совершенно неважно — это вакцина от ковида или что-то другое. Все прекрасно понимают, что информационное согласие в полной мере не снимает ответственность с медицинской организации. Можно доказать, что врачи были неправы, если что-то случится. В вакцинации существует ещё много тёмных пятен, но иного выхода нет», — уточнил адвокат.
_d_850.jpg)
"РГ" - Неделя" собрала главные вопросы о новом порядке, в том числе и те, ответы на которые должны появиться во время обсуждения изменений в законе.
_t_310x206.jpg)
В чем суть нововведений с QR-кодами?
Когда вступит в силу новый порядок?
Во многих регионах различные учреждения уже сейчас работают по принципу Covid free, вход в них возможен только с QR-кодом. Повсеместно требовать их начнут в ближайшее время, как только новые законы будут приняты.
При этом до 1 февраля 2022 года объявлен переходный период: наряду с QR-кодом можно будет предъявить отрицательный результат ПЦР-теста на коронавирус. После 1 февраля и до 1 июня 2022 года - только QR-код, который содержит зашифрованную информацию о его владельце: если человек был привит, либо переболел COVID-19, либо имеет медотвод от вакцинации.
Сроки, когда без QR-кода нельзя будет купить билеты и сесть на междугородные или международные авиарейсы и поезда, станет известен позже. Минтранс, минцифры и другие ведомства должны синхронизировать электронные ресурсы по бронированию и продаже билетов с федеральным регистром вакцинированных.
Все ограничения вводятся только на взрослое население и не распространяются на детей и подростков до 18 лет.
А что будет с городским общественным транспортом - метро, автобусами, трамваями?
Автобусные перевозки между городами, а также внутригородской общественный транспорт в законопроектах не упоминается. Видимо, пока там сохранится ныне действующий порядок. Для международных поездок нужно предъявлять свежий (сделанный не ранее 72 часов) ПЦР-тест или QR-код.
Ограничения для внутригородских поездок должны установить региональные власти.
Как и где можно получить QR-код?
Сертификат о вакцинации действует год после второй прививки, сертификат о заболевании - полгода после его окончания, а QR-код, полученный при сдаче ПЦР-теста, действителен три дня.
Что делать, если человек переболел COVID-19, но не обращался в медучреждение, и поэтому его нет в регистре?
Этот вопрос обсуждается. В Чувашии, например, власти объявили, что будут выдавать временный сертификат таким переболевшим, если тестирование подтвердит у них высокий уровень антител к коронавирусу. Но утвержденных показателей, какой уровень можно считать "высоким", нет не только в России, но и в мире.
Как быть иностранцам, которые живут в России?
Для иностранцев будет действовать особый порядок: они и до, и после 1 февраля смогут предъявлять справку о свежем ПЦР-тесте вместо QR-кода при посещении общественных мест и на транспорте.
А зачем все это нужно? Это действительно поможет победить эпидемию?
Вице-премьер России Татьяна Голикова, объявляя о решении, объяснила, что главная цель: подтолкнуть людей к вакцинации, чтобы страна достигла целевого уровня в 80% имеющих иммунную защиту (то есть вакцинированных и переболевших). Только так можно замедлить распространение коронавируса и уменьшить количество тяжелых случаев и смертей. При этом она отметила, что в связи с приходом "дельта"-штамма эпидемиологи разных стран поднимают эту планку до 90% и даже 95%.
Эпидемиологи и вакцинологи также предупреждают: пока среди населения высока доля непривитых, создаются идеальные условия для появления дальнейших мутаций коронавируса, причем он будет эволюционировать в сторону большей агрессивности: увеличения заразности и ухода от иммунной защиты. Об этом, в частности, говорили специалисты на только что завершившейся конференции Futuremed. Привитые, как показал опыт последнего года, также могут выступать в качестве носителей коронавируса, и в их организмах будут выживать новые, более устойчивые штаммы, не поддающиеся вакцинной защите. При заражении непривитых людей этими штаммами велика вероятность более тяжелого течения заболевания.
В других странах применяют подобные меры?
Да, так называемые "зеленые паспорта" (Green pass) одним из первых ввел Израиль. И с сентября в этой стране его получают уже за ревакцинацию. Для остальных много ограничений. Предприятия отправляют работников без Green pass в неоплачиваемые отпуска. QR-коды, подтверждающие проведение прививки, введены во многих провинциях Канады, в ряде штатов США. Страны ЕС также используют Green pass - до недавнего времени в качестве пропуска в общественные места можно было также предъявлять ПЦР-тест, но сейчас все больше стран отменили бесплатное тестирование, и за выполнение теста приходится платить 60-80 евро. При этом вакцинацию все государства обеспечивают за счет своих бюджетов, для населения прививки бесплатны.
Читайте также: