Podvody s QR kódmi a NFC: Ako fungujú a ako ochrániť svoje účty

Digitálne platby robia každodenný život rýchlejším, ale zároveň vytvárajú nové príležitosti pre podvody. QR kódy a funkcie NFC na bezkontaktné platenie sú pohodlné, široko používané a často im ľudia dôverujú bez väčšieho premýšľania. Práve túto dôveru podvodníci zneužívajú.

Pre majiteľov firiem je toto riziko obzvlášť dôležité. Jediné zlé naskenovanie alebo kompromitovaný platobný účet môže viesť k odcudzeniu finančných prostriedkov, neoprávneným prevodom, úniku údajov o zákazníkoch a hodinám riešenia následkov. Či už vediete malý startup, domáce podnikanie alebo rastúcu spoločnosť s viacerými platobnými kanálmi, pochopenie týchto podvodov je praktickou súčasťou ochrany vašej prevádzky.

Tento sprievodca vysvetľuje, ako fungujú podvody s QR kódmi a NFC, na aké varovné signály si treba dávať pozor a aké kroky môžete podniknúť na zníženie rizika.

Prečo tieto podvody fungujú

QR kódy a technológia NFC sú užitočné, pretože zjednodušujú platby a prístup. Problém je, že zároveň znižujú prekážky aj pre zločincov.

Podvod zvyčajne uspeje vtedy, keď sa stane toto:

• obeť dôveruje kódu, zariadeniu alebo platobnej výzve,
• transakcia prebehne príliš rýchlo na overenie,
• používateľ si nevšimne, že cieľ alebo akcia bola zmenená.

Inými slovami, problémom nie je samotná technológia. Podvod závisí od klamstva, rýchlosti a absencie overenia.

Ako vyzerajú podvody s QR kódmi

QR kódy sú všade. Objavujú sa na faktúrach, jedálnych lístkoch, marketingových letákoch, parkovacích automatoch, prepravných štítkoch aj na platobných stránkach. Keďže vyzerajú podobne, používatelia často predpokladajú, že sú neškodné.

Podvodníci túto domnienku zneužívajú viacerými spôsobmi.

Falošné platobné kódy

Bežný podvod spočíva vo výmene legitímneho QR kódu za podvodný. Zločinec môže nalepiť nálepku cez skutočný kód na verejnom mieste alebo na vytlačenej účtenke, čím sa platba odošle na nesprávny účet.

To sa môže stať na týchto miestach:

• parkovacie kiosky,
• vstupenky na podujatia,
• darcovské boxy,
• stoly v reštauráciách,
• faktúry malých firiem.

Phishingové kódy

Kód môže používateľa presmerovať aj na falošnú webovú stránku navrhnutú na krádež prihlasovacích údajov, údajov z karty alebo osobných informácií. Keďže používatelia očakávajú, že QR kódy otvoria weby alebo aplikácie, nemusia spochybniť odkaz, ktorý sa po naskenovaní zobrazí.

Škodlivé stiahnutia

Niektoré QR podvody presmerujú používateľov na stránku na stiahnutie aplikácie alebo na súbor, ktorý nainštaluje spyware, prehliadačové únoscovia alebo iný nežiaduci softvér. Po inštalácii môže takýto softvér sledovať aktivitu, kradnúť heslá alebo zachytávať finančné informácie.

Podvody s faktúrami a vyúčtovaním

Firmy sú častým cieľom QR podvodov súvisiacich s faktúrami. Falošná faktúra môže vyzerať, že pochádza od dodávateľa, kontraktora alebo poskytovateľa služieb. Ak zamestnanec naskenuje kód a zaplatí na nesprávny účet, peniaze môžu byť preč skôr, než sa chyba zistí.

Ako fungujú podvody s NFC

NFC znamená near-field communication, teda komunikáciu na krátku vzdialenosť. Je to technológia, ktorá umožňuje karte, telefónu alebo nositeľnému zariadeniu komunikovať s platobným terminálom, keď sú tesne pri sebe.

NFC je bezpečné, ak je správne implementované, no podvodníci sa aj tak snažia zneužiť dôveru, ktorú používatelia vkladajú do bezkontaktných platieb.

Ukradnuté alebo skopírované platobné údaje

Ak je telefón, peňaženka alebo karta kompromitovaná, zločinec môže použiť údaje na neoprávnené bezkontaktné platby. Krádež sa v mnohých prípadoch deje cez malware, phishing alebo kompromitovaný účet, nie len prostredníctvom fyzickej blízkosti.

Relay útoky

Pri relay útoku sa zločinec snaží predĺžiť komunikáciu medzi legitímnym platobným zariadením a terminálom. Cieľom je vytvoriť dojem, že bezkontaktné priloženie prebehlo, aj keď sa skutočné zariadenie nachádzalo ďalej, než by malo.

Tento typ podvodu je technicky náročnejší než bežný phishing, no ukazuje, prečo na bezpečnosti bezkontaktných platieb stále záleží.

Krádež zariadenia a prístup k účtu

NFC sa často používa spolu s mobilnými peňaženkami, uloženými kartami a overovaním cez aplikácie. Ak niekto získa prístup k odomknutému telefónu alebo slabo chránenému účtu peňaženky, môže byť schopný autorizovať nákupy alebo pristupovať k prepojeným účtom.

Varovné signály, na ktoré si treba dávať pozor

Najlepší spôsob, ako sa vyhnúť podvodom s QR a NFC, je spomaliť a pred konaním si všetko overiť.

Všímajte si tieto varovné signály:

• nálepka s QR kódom umiestnená cez iný kód,
• platobná požiadavka, ktorá prišla nečakane,
• webová adresa, ktorá po naskenovaní vyzerá preklepnutá alebo nezvyčajná,
• dodávateľ žiadajúci platbu cez kód, ktorý nemožno nezávisle overiť,
• výzva na bezkontaktnú platbu mimo bežného procesu pokladne,
• požiadavka na inštaláciu aplikácie pred dokončením platby,
• platobný terminál, ktorý bol fyzicky manipulovaný.

Ak vám niečo pripadá nezvyčajné, zastavte sa a potvrďte transakciu cez dôveryhodný kanál.

Ako sa chrániť ako jednotlivec

Základné bezpečnostné návyky majú veľký význam.

Overte zdroj

Skenujte iba kódy z dôveryhodných zdrojov. Ak dostanete QR kód v e-maile, textovej správe, letáku alebo faktúre, pred skenovaním si overte, že pochádza od skutočného odosielateľa.

Skontrolujte kód aj okolie

Hľadajte známky toho, že bol kód zakrytý, presunutý alebo vymenený. Na vytlačených materiáloch skontrolujte, či kód nepôsobí ako nálepka nalepená na pôvodný štítok.

Pred pokračovaním skontrolujte cieľ

Legitímny QR kód by vás nemal nútiť ponáhľať sa. Pred zadaním akýchkoľvek platobných údajov si skontrolujte webovú adresu alebo názov aplikácie.

Používajte silné zabezpečenie zariadenia

Udržujte telefón aktualizovaný, používajte silný prístupový kód, zapnite biometrickú ochranu a aktivujte funkcie uzamknutia zariadenia. Ak telefón podporuje upozornenia z peňaženky alebo platobné notifikácie, zapnite ich.

Obmedzte údaje uložené v zariadení

Odstráňte nepoužívané karty, staré platobné aplikácie a zbytočné údaje automatického vyplňovania v prehliadači. Čím menej citlivých informácií je v zariadení uložených, tým menej môže zločinec získať, ak sa niečo pokazí.

Nahláste podozrivú aktivitu bez odkladu

Ak sa domnievate, že ste naskenovali falošný kód alebo schválili neoprávnenú bezkontaktnú platbu, ihneď kontaktujte svoju banku alebo vydavateľa karty. Rýchle nahlásenie môže znížiť škody a pomôcť zablokovať ďalšie transakcie.

Ako môžu firmy znížiť riziko

Majitelia firiem by mali podvody s QR a NFC vnímať ako súčasť svojich procesov pre platby a bezpečnosť dodávateľov.

Kontrolujte fyzický prístup k platobným materiálom

Ak vaša firma používa vytlačené QR kódy, uchovávajte ich na bezpečných miestach a pravidelne ich kontrolujte. To je obzvlášť dôležité pri predajniach, servisných pultoch, parkovacích systémoch a materiáloch pre podujatia.

Školte zamestnancov

Personál by mal vedieť rozpoznať podozrivé platobné požiadavky, zmenené kódy a nezvyčajné pokyny od dodávateľov. Školenie nemusí byť zložité, ale malo by byť konzistentné.

Zmeny platby overujte cez samostatný kanál

Ak vám dodávateľ pošle nové platobné údaje, potvrďte ich pomocou známeho telefónneho čísla alebo existujúceho kontaktu v účte. Nespoliehajte sa na správu, v ktorej požiadavka prišla.

Oddeľte firemné a osobné financie

Zakladatelia a majitelia malých firiem by mali, keď je to možné, viesť firemné účty oddelene od osobných. Oddelenie uľahčuje odhalenie podozrivej aktivity a obmedzuje rozsah škôd.

Zapnite upozornenia

Nastavte si upozornenia v reálnom čase na aktivitu kariet, ACH prevody, prihlásenia do účtu a zmeny platieb. Notifikácia, ktorá príde okamžite, môže znamenať rozdiel medzi včasným zachytením podvodu a ďalšou stratou peňazí.

Pravidelne vykonávajte kontrolu účtovania

Nečakajte so kontrolou transakcií až do daňového obdobia alebo konca štvrťroka. Časté zosúlaďovanie pomáha včas odhaliť duplicitné poplatky, neoprávnené prevody a nesúladné platby dodávateľom.

Používajte oprávnenia podľa rolí

Ak platby spracúva viac zamestnancov, obmedzte prístup podľa rolí. Nie každý člen tímu musí mať možnosť pridávať dodávateľov, schvaľovať prevody alebo meniť platobné metódy.

Čo robiť, ak si myslíte, že ste sa stali obeťou podvodu

Ak máte podozrenie na podvod cez QR alebo NFC, konajte rýchlo.

1. Ihneď kontaktujte svoju banku alebo vydavateľa karty.
2. Zablokujte alebo zmrazte dotknuté účty, ak to váš poskytovateľ umožňuje.
3. Zmeňte heslá pri všetkých súvisiacich účtoch.
4. Skontrolujte posledné transakcie a prihlásenia.
5. Odstráňte z podozrivých zariadení podozrivé aplikácie alebo rozšírenia prehliadača.
6. Incident nahláste platforme, obchodníkovi alebo dodávateľovi, ktorých sa týka.
7. Pri firemných incidentoch zdokumentujte, čo sa stalo, a informujte interné zainteresované osoby.

Ak mohli byť vystavené údaje zákazníkov alebo zamestnancov, zvážte, či podľa interných pravidiel vašej spoločnosti alebo príslušného zákona nie je potrebné ďalšie oznámenie alebo náprava.

Sú QR kódy a NFC bezpečné na používanie?

Áno, ak sa používajú opatrne. QR kódy a NFC platby nie sú samy osebe nebezpečné. Sú to len nástroje, ktoré sa, podobne ako väčšina nástrojov, dajú zneužiť.

Najbezpečnejší prístup nie je vyhýbať sa tejto technológii úplne. Je to používať ju s rovnakou opatrnosťou, akú by ste venovali akejkoľvek finančnej operácii:

• overte zdroj,
• skontrolujte cieľ,
• používajte upozornenia účtu,
• udržiavajte zariadenia zabezpečené,
• pred platbou sa zastavte.

Tá jedna dodatočná chvíľa na overenie môže zabrániť nákladnej chybe.

Záverečné zhrnutie

Podvody s QR kódmi a NFC sú úspešné preto, že sú rýchle, pohodlné a ľahko dôveryhodné. Zločinci túto pohodlnosť využívajú na presmerovanie platieb, krádež prihlasovacích údajov a zneužitie uponáhľaných používateľov.

Pre jednotlivcov je riešením dôsledné overovanie a silné zabezpečenie zariadenia. Pre majiteľov firiem to navyše znamená aj školenie zamestnancov, kontrolu platieb, postupy na potvrdenie dodávateľov a pravidelné monitorovanie účtov.

Čím viac vaša firma závisí od digitálnych platieb, tým dôležitejšie sú tieto ochranné opatrenia. Jednoduchý zvyk skontrolovať všetko pred naskenovaním alebo priložením môže neskôr ušetriť čas, peniaze aj výrazné komplikácie.