QR-koodi- ja NFC-huijaukset: miten ne toimivat ja miten suojaat tilisi

Digitaaliset maksut nopeuttavat arkea, mutta ne luovat myös uusia mahdollisuuksia petoksille. QR-koodit ja NFC:n tap-to-pay-ominaisuudet ovat käteviä, laajasti käytettyjä ja usein sellaisia, joihin luotetaan ajattelematta asiaa sen enempää. Juuri tätä luottamusta huijarit käyttävät hyväkseen.

Yritysten omistajille riski on erityisen tärkeä. Yksi väärä skannaus tai vaarantunut maksutili voi johtaa varastettuihin varoihin, luvattomiin siirtoihin, asiakkaiden tietojen paljastumiseen ja tuntien selvitystyöhön. Olipa sinulla pieni startup, kotipohjainen yritys tai kasvava yhtiö, jolla on useita maksukanavia, näiden huijausten ymmärtäminen on käytännöllinen osa toimintasi suojaamista.

Tässä oppaassa kerrotaan, miten QR-koodi- ja NFC-huijaukset toimivat, mitkä varoitusmerkit kannattaa tunnistaa ja mitä voit tehdä riskin vähentämiseksi.

Miksi nämä huijaukset toimivat

QR-koodit ja NFC-tekniikka ovat hyödyllisiä, koska ne yksinkertaistavat maksamista ja käyttöä. Ongelma on, että ne myös vähentävät rikollisten kohtaamaa kitkaa.

Huijaus onnistuu yleensä, kun kolme asiaa toteutuu:

• Uhri luottaa koodiin, laitteeseen tai maksupyynnön näyttöön.
• Tapahtuma etenee liian nopeasti tarkistamista varten.
• Käyttäjä ei huomaa, että kohdetta tai toimintoa on muutettu.

Toisin sanoen itse teknologia ei ole ongelma. Huijaus perustuu petokseen, nopeuteen ja tarkistamisen puutteeseen.

Miltä QR-koodi-huijaukset näyttävät

QR-koodeja on kaikkialla. Niitä esiintyy laskuissa, ravintolamenuissa, markkinointiesitteissä, pysäköintimaksuautomaateissa, lähetysetiketeissä ja maksusivuilla. Koska ne näyttävät samanlaisilta, käyttäjät olettavat usein niiden olevan harmittomia.

Huijarit hyödyntävät tätä oletusta useilla tavoilla.

Väärennetyt maksukoodit

Yksi yleinen huijaus on korvata aito QR-koodi väärällä. Rikollinen voi liimata tarran oikean koodin päälle julkisessa paikassa tai painetun laskun yhteyteen, jolloin maksu päätyy väärälle tilille.

Tätä voi tapahtua esimerkiksi:

• Pysäköintiautomaateissa
• Tapahtumalipuissa
• Lahjoituslaatikoissa
• Ravintolapöydissä
• Pienyritysten laskuissa

Kalastelukoodit

Koodi voi myös ohjata käyttäjän väärennetylle verkkosivulle, jonka tarkoitus on varastaa kirjautumistunnuksia, korttitietoja tai henkilötietoja. Koska käyttäjät odottavat QR-koodien avaavan verkkosivuja tai sovelluksia, he eivät välttämättä kyseenalaista skannauksen jälkeen näkyvää linkkiä.

Haitalliset lataukset

Jotkin QR-huijaukset ohjaavat käyttäjän sovelluksen lataussivulle tai tiedostoon, joka asentaa vakoiluohjelman, selaimen kaappaajan tai muuta ei-toivottua ohjelmistoa. Asennuksen jälkeen ohjelmisto voi seurata toimintaa, varastaa salasanoja tai siepata taloudellisia tietoja.

Laskutus- ja veloitushuijaukset

Yritykset ovat usein laskuihin liittyvien QR-huijausten kohteita. Väärennetty lasku voi näyttää tulevan toimittajalta, urakoitsijalta tai palveluntarjoajalta. Jos työntekijä skannaa koodin ja maksaa väärälle tilille, rahat voivat olla mennyttä ennen kuin virhe huomataan.

Miten NFC-huijaukset toimivat

NFC tarkoittaa near-field communication -tekniikkaa. Se on teknologia, jonka avulla kortti, puhelin tai älykello voi kommunikoida maksupäätteen kanssa, kun ne ovat lähellä toisiaan.

NFC on turvallinen oikein toteutettuna, mutta huijarit yrittävät silti käyttää hyväksi käyttäjien luottamusta lähimaksuihin.

Varastetut tai kloonatut maksutiedot

Jos puhelin, lompakko tai kortti vaarantuu, rikollinen voi käyttää tietoja luvattomiin lähimaksuihin. Monissa tapauksissa varkaus tapahtuu haittaohjelman, kalastelun tai vaarantuneen tilin kautta, ei pelkästään fyysisen läheisyyden vuoksi.

Välityshyökkäykset

Välityshyökkäyksessä rikollinen yrittää pidentää yhteyttä aidon maksulaitteen ja maksupäätteen välillä. Tavoitteena on saada tap-tapahtuma näyttämään siltä, että se tapahtuu, vaikka oikea laite on kauempana kuin sen pitäisi olla.

Tämäntyyppinen petos on teknisesti vaativampi kuin tavallinen kalasteluhuijaus, mutta se osoittaa, miksi lähimaksujen turvallisuus on edelleen tärkeää.

Laitteen varkaus ja tilille pääsy

NFC yhdistetään usein mobiililompakoihin, tallennettuihin kortteihin ja sovelluspohjaiseen vahvistukseen. Jos joku saa käyttöönsä lukitsemattoman puhelimen tai huonosti suojatun lompakkosovelluksen, hän voi ehkä hyväksyä ostoksia tai päästä linkitettyihin tileihin.

Varoitusmerkit, joihin kannattaa kiinnittää huomiota

Paras tapa välttää QR- ja NFC-petokset on hidastaa tahtia ja varmistaa tiedot ennen toimimista.

Kiinnitä huomiota näihin hälytysmerkkeihin:

• QR-kooditarra, joka on liimattu toisen koodin päälle
• Maksupyyntö, joka saapuu odottamatta
• Verkkosoite, joka näyttää skannauksen jälkeen kirjoitusvirheiseltä tai epätavalliselta
• Toimittaja, joka pyytää maksua koodilla, jota ei voi tarkistaa itsenäisesti
• Tap-to-pay-kehote, joka ilmestyy normaalin kassaprosessin ulkopuolella
• Pyyntö asentaa sovellus ennen maksun viimeistelyä
• Maksupääte, johon on mahdollisesti fyysisesti kajottu

Jos jokin tuntuu oudolta, pysähdy ja varmista tapahtuma luotettavan kanavan kautta.

Miten suojaat itsesi yksityishenkilönä

Perustason turvallisuustavat vievät pitkälle.

Varmista lähde

Skannaa koodeja vain luotettavista lähteistä. Jos saat QR-koodin sähköpostitse, tekstiviestillä, esitteessä tai laskussa, varmista ennen skannaamista, että se tuli oikealta lähettäjältä.

Tarkista koodi ja sitä ympäröivä pinta

Etsi merkkejä siitä, että koodi on peitetty, siirretty tai vaihdettu. Painetuissa materiaaleissa tarkista, näyttääkö koodi tarralta toisen tarran päällä.

Tarkista kohde ennen jatkamista

Aito QR-koodi ei saisi pakottaa kiirehtimään. Tarkista verkkosivun osoite tai sovelluksen nimi ennen kuin syötät maksutietoja.

Käytä vahvaa laitesuojausta

Pidä puhelin päivitettynä, käytä vahvaa pääsykoodia, ota käyttöön biometrinen suojaus ja aktivoi laitteen lukitustoiminnot. Jos puhelimesi tukee lompakkoilmoituksia tai maksuvalvontoja, ota ne käyttöön.

Rajoita laitteelle tallennettua tietoa

Poista käyttämättömät kortit, vanhat maksusovellukset ja tarpeettomat selaimen automaattitäytötiedot. Mitä vähemmän arkaluonteista tietoa laitteella on, sitä vähemmän rikollinen voi hyödyntää sitä, jos jotain menee pieleen.

Ilmoita epäilyttävästä toiminnasta nopeasti

Jos uskot skannanneesi väärennetyn koodin tai hyväksyneesi luvattoman lähimaksun, ota välittömästi yhteys pankkiin tai kortin myöntäjään. Nopea ilmoitus voi vähentää tappioita ja auttaa estämään lisäveloitukset.

Miten yritykset voivat vähentää riskiä

Yritysten omistajien tulisi käsitellä QR- ja NFC-petoksia osana maksujen ja toimittajien turvallisuusprosessia.

Hallitse fyysistä pääsyä maksumateriaaleihin

Jos yrityksesi käyttää painettuja QR-koodeja, säilytä ne turvallisissa paikoissa ja tarkista ne säännöllisesti. Tämä on erityisen tärkeää myymälöissä, palvelutiskeillä, pysäköintijärjestelmissä ja tapahtumamateriaaleissa.

Kouluta työntekijät

Henkilöstön tulee osata tunnistaa epäilyttävät maksupyynnöt, muutetut koodit ja epätavalliset toimittajaohjeet. Koulutuksen ei tarvitse olla monimutkaista, mutta sen tulee olla johdonmukaista.

Vahvista maksumuutokset erillisessä kanavassa

Jos toimittaja lähettää uuden maksukohteen, vahvista se tunnetulla puhelinnumerolla tai vakiintuneen yhteyshenkilön kautta. Älä luota viestiin, jossa pyyntö alun perin tuli.

Pidä yritys- ja henkilökohtaiset varat erillään

Uusien perustajien ja pienyritysten omistajien kannattaa pitää yritystilit erillään henkilökohtaisista tileistä aina kun mahdollista. Erottelu helpottaa epäilyttävän toiminnan havaitsemista ja rajoittaa petoksen leviämistä.

Ota käyttöön ilmoitukset

Aseta reaaliaikaiset hälytykset korttitoiminnalle, ACH-siirroille, tilin kirjautumisille ja maksumuutoksille. Heti saapuva ilmoitus voi olla ratkaiseva sen kannalta, havaitaanko petos ajoissa vai menetetäänkö lisää rahaa.

Tarkista täsmäytys säännöllisesti

Älä odota veroilmoitukseen tai vuosineljänneksen loppuun asti tarkistaaksesi tapahtumat. Tiheä täsmäytys auttaa havaitsemaan kaksoisveloitukset, luvattomat siirrot ja virheelliset toimittajamaksut varhain.

Käytä roolipohjaisia käyttöoikeuksia

Jos useat työntekijät käsittelevät maksuja, rajoita käyttöoikeudet roolin mukaan. Jokaisella tiimin jäsenellä ei tarvitse olla oikeutta lisätä toimittajia, hyväksyä siirtoja tai muuttaa maksutapoja.

Mitä tehdä, jos epäilet joutuneesi huijauksen kohteeksi

Jos epäilet QR- tai NFC-huijausta, toimi nopeasti.

1. Ota välittömästi yhteys pankkiin tai kortin myöntäjään.
2. Jäädytä tai lukitse asianomaiset tilit, jos palveluntarjoaja tukee sitä.
3. Vaihda kaikkien siihen liittyvien tilien salasanat.
4. Tarkista viimeisimmät tapahtumat ja kirjautumiset.
5. Poista epäilyttävät sovellukset tai selainlaajennukset laitteistasi.
6. Ilmoita tapauksesta alustalle, kauppiaalle tai toimittajalle, johon se liittyy.
7. Jos kyseessä on yritystapaus, dokumentoi tapahtunut ja ilmoita sisäisille sidosryhmille.

Jos asiakkaiden tai työntekijöiden tiedot ovat voineet paljastua, harkitse, edellyttävätkö yrityksen käytännöt tai sovellettava laki lisäilmoituksia tai korjaavia toimia.

Ovatko QR-koodit ja NFC turvallisia käyttää?

Kyllä, kun niitä käytetään huolellisesti. QR-koodit ja NFC-maksut eivät ole lähtökohtaisesti vaarallisia. Ne ovat vain työkaluja, ja kuten useimpia työkaluja, niitä voidaan käyttää väärin.

Turvallisin lähestymistapa ei ole välttää teknologiaa kokonaan. On käyttää sitä samalla varovaisuudella kuin mitä tahansa taloudellista toimintoa:

• Varmista lähde
• Tarkista kohde
• Käytä tilihälytyksiä
• Pidä laitteet turvassa
• Pysähdy ennen maksamista

Yksi lisähetki tarkistamiseen voi estää kalliin virheen.

Loppuhuomio

QR-koodi- ja NFC-huijaukset onnistuvat, koska ne ovat nopeita, käteviä ja helppoja luottaa. Rikolliset käyttävät tätä helppoutta maksuja ohjatakseen väärään paikkaan, varastaakseen tunnuksia ja hyödyntääkseen kiireisiä käyttäjiä.

Yksityishenkilöille ratkaisu on huolellinen tarkistaminen ja vahva laitesuojaus. Yritysten omistajille se tarkoittaa lisäksi työntekijöiden koulutusta, maksukontrolleja, toimittajien vahvistuskäytäntöjä ja tilien säännöllistä seurantaa.

Mitä enemmän yrityksesi nojaa digitaalisiin maksuihin, sitä tärkeämmiksi nämä suojatoimet tulevat. Yksinkertainen tapa tarkistaa ennen skannaamista tai napauttamista voi säästää aikaa, rahaa ja merkittäviä häiriöitä myöhemmin.