Безопасность переводов и оплаты товаров через СБП. Часть 2

Руслан Рахметов, Security Vision

В предыдущей статье мы рассмотрели, как проводятся переводы через Систему быстрых платежей Банка России (СБП) между физическими лицами и разобрали основные подходы, обеспечивающие безопасность.

Во второй части разберем оплату товаров, так называемые C2B переводы через СБП в пользу юридических лиц – торгово-сервисных предприятий.

Данный тип платежей в своей основе имеет те же переводы между физическими лицами (С2С СБП), которые фактически выполняются между банками по счетам. И соответствующие преимущества: моментальную скорость получения денег ТСП, отсутствие обеспечительных платежей со стороны банков в сторону карточных платежных систем, сниженные затраты на сам перевод, а также более простое внедрение оплаты по СБП (в том числе, в части обеспечения информационной безопасности). Есть и еще одна особенность - оплата товаров через СБП исключает наличие такой популярной услуги как кэшбек, так как банк плательщика не получает за перевод премию со стороны платежной системы (это механизм поощрения трат, когда банк получателя платит определенный процент платежной системе, а она часть их этих средств передает банку плательщика).

В настоящее время фактически большинство населения РФ имеет смартфоны с камерой и подключение к сети интернет через мобильного оператора, что создало возможности для оплаты с инициализацией со стороны клиента, а не со стороны ТСП (как в случае с оплатой с помощью пластиковой карты). Такая схема перекладывает часть издержек с ТСП и их банков на сторону клиента (банка клиента).

Все перечисленные выше факторы и особенности технологии заложили успех. Активно оплату через СБП продвигают сами ТСП, которые даже предлагают скидки (по сути, это размер экономии на отказе от карточного эквайринга) клиентам в случае оплаты через СБП. Некоторые сложности возникают из-за непривычности для покупателей такого способа оплаты и наличие уже существующих способов. Ввиду последних событий, из-за санкций в Российской Федерации образовался дефицит банковского «пластика», что ускорит переход клиентов на использование для оплаты товаров мобильных устройств.

Рис. 1. Динамика использования населением СБП для оплаты покупок

Рис. 2. Динамика внедрения в ТСП оплаты через СБП

Рассмотрим процесс оплаты товаров через СБП. Стороны взаимодействия уже знакомы вам по первой статье, но при этом в качестве получателя денежных средств уже не физическое лицо, а ТСП:

• Расчетный центр Платежной системы Банка России.
• Операционный платежный и клиринговый центр.
  К уже ранее описанным в первой статье функциям на ОПКЦ ложится задача регистрации запросов на оплату и выдачи идентификаторов (ниже опишем подробнее).
• Банки и их клиенты (сторона плательщика).
• Банки, Агенты ТСП. Агенты ТСП фактически отвечают за общение между ТСП и ОПКЦ в целях обеспечения информационного обмена, например, для генерации QR кодов, передачи статуса оплаты и т.д. Но в подавляющем большинстве случаем эту роль совмещают Банки ТСП.
• ТСП – продавцы товаров и услуг, конечные получатели денежных средств.

Глобально, процесс оплаты состоит из:

• Нефинансовых операций:
  • регистрация ТСП в СБП
  • формирование QR-кода или ссылки
  • уведомление
  • оформление подписок и запросов на оплату по подписке


• Финансовых операций
  • оплата по QR наклейке (статический QR)
  • оплата по QR на кассе (динамический QR)
  • оплата мгновенного счета (по ссылке)
  • оплата по подписке

Технически, почти все виды оплат построены на передаче некоторого id заранее зарегистрированного счета (запроса) на оплату. Классические переводы с помощью QR кодов - это переводы по раскодированным из QR кодов реквизитам, и в данном случае СБП - намного более технологичный и безопасный способ оплаты, исключающий какие-либо возможности подмены реквизитов в платежном QR или ссылке. Более того, QR (В СБП используется формат двухмерного QR-кода (ISO/IEC 18004-2015) фактически кодирует ссылку с данным id, которую можно непосредственно передавать в браузере на мобильном устройстве (как раз оплата мгновенного счета на сайте нажатием на кнопку-ссылку, который технологически не отличается от оплаты по динамическому QR), а также с помощью беспроводных технологий, например, с помощью NFC.

Функциональная ссылка СБП (которая в том числе кодируется QR кодом СБП) представляет собой URL следующего формата:

где:

Примеры ссылок:

Теперь рассмотрим 2 основных процесса оплаты статическим и динамическим QR кодом.

Статический QR наиболее удобен к использованию, когда у продавца нет специализированных средств автоматизации – достаточно сделать себе QR код и расклеить, чтобы клиент мог сосканировать его с прилавка и самостоятельно со слов продавца ввести сумму оплаты.

Рис. 3. Процесс оплаты по QR-наклейке

Отметим ключевые особенности процесса оплаты:

• Шаги с 2 по 9.1 осуществляются по уже существующим защищенным банковским каналам. Процесс почти повторяет оплату C2C и выполняет ряд требований нормативных актов Банка России, рассмотренных в предыдущей статье.
• Шаг 1 на первый взгляд несет риски подмены наклейки, но эти риски минимизированы:
  • проверкой на шаге 3 реквизитов получателя;
  • строгой процедурой проверки ТСП, которые хотят принимать оплаты с помощью QR кодов;
  • оповещением ТСП о получении оплаты.

Даже если злоумышленник сможет пройти процедуру проверки своего «подставного» ТСП, подменить QR код на свой и сподвигнуть покупателя провести оплату, то это может произойти только единожды и будет моментально обнаружено, что скорее всего не даст мошеннику возможности (времени) вывести/обналичить похищенные средства.

Свои особенности есть и у процесса оплаты по динамическому QR – данный способ наиболее применим при оплатах на кассах, где есть специализированное ПО для автоматизированного просчета стоимости всего заказа и формирования QR кода с соответствующей суммой.

Рис. 4. Процесс оплаты по динамическому QR на кассе.

Отметим ключевые особенности процесса оплаты:

• Шаги 1-2 осуществляются для подачи по сути заявки на оплату определенной суммы в пользу ТСП-инициатора. Данный запрос передается защищенным способом, со взаимной аутентификацией участников обмена информацией, с применением ряда технологических проверок (например, сверкой идентификаторов аутентифицированного источника запроса и его прикладных идентификаторов в самом запросе) на каждом этапе. При этом, напомним, ТСП проходит специальную процедуру отбора, содержащую в том числе процедуры проверки качества обеспечения информационной безопасности. В случае успешного прохождения всех процедур ТСП получает платежную ссылку в виде текста и/или QR кода (рис. 5). Кстати, QR код может формировать уже кассовое оборудование на основе ссылки.
• Шаги 3 – 10.2 аналогичны шагам при оплате по статическому QR коду. Чаще всего роль Агента ТСП выполняет сам банк ТСП. Агенты ТСП это некоторая сущность, которая берет на себя операции по регистрации QR и передаче ТСП. Роль Агента ТСП достаточно удобна для производителей и операторов услуг по организации кассового обслуживания в магазинах.
• Шаг 11 — это оповещение ТСП о получении по ранее сформированному QR коду оплаты от покупателя.

Рис. 5. Пример QR кода СБП

Если внимательно посмотреть на схему проведения платежа, то можно отметить, что в незащищенном взаимодействии между ТСП и клиентом не передается никакая чувствительная информация, и риски в целом аналогичны оплатам по статическому QR. Разве что появляется риск взлома инфраструктуры Агента ТСП и самого ТСП. Однако взлом все равно будет направлен на подмену QR от другого проверенного ТСП, вероятность чего минимальна, а в случае успешной реализации подмена достаточно быстро будет обнаружена. Ещё возможны сценарии изменения суммы платежа при взломе инфраструктуры ТСП или Агента ТСП и внесения изменений в запросы на регистрацию QR - для нанесения репутационного ущерба (например, завышение суммы оплаты) или материального (занижение суммы). Но все эти риски почти невероятны к реализации, и злоумышленникам гораздо интереснее будет реализовать другие риски, не связанные с процессом оплаты через СБП.

Также не надо забывать про постоянный мониторинг операций в ОПКЦ, обработку аномальных событий, систему антифродовых мер по оценке рисков мошенничества, требования к проверке исходных кодов прикладного ПО и прочие механизмы обеспечения безопасности платежей СБП, описанные в предыдущей статье.

Подводя итоги, можно смело утверждать, что в плане защиты СБП намного безопаснее оплат с применением классических QR кодов с зашитыми реквизитами перевода. СБП очень технологична и обладает огромным потенциалом к развитию.