9.2. Типовые угрозы при осуществлении переводов денежных средств с использованием QR-кодов
Угрозы безопасности информации при осуществлении переводов денежных средств с использованием QR-кодов - это различные действия, которые могут привести к нарушению процессов осуществления переводов денежных средств, используя уязвимости, которыми обладают процессы и технические средства работы с QR-кодами. Реализация угрозы безопасности информации заключается в нарушении конфиденциальности, целостности и доступности информации, необходимой для совершения переводов денежных средств с использованием QR-кодов. При этом злоумышленник может предпринимать действия по модификации, уничтожению, блокированию информации, используемой в процессах переводов денежных средств.
Технологический подэтап "Формирование (подготовка), передача и прием QR-кода" разделен на три шага, на которых реализуются типовые угрозы для QR-кодов с данными и QR-кодов со ссылкой в статическом и динамическом сценариях. В табл. 1 представлены шаги на технологическом подэтапе, угрозы для каждого шага и их подробное описание, способы представления QR-кодов, объекты воздействия угроз, а также QR-коды, для которых актуальны такие угрозы.
Номер пункта таблицы соответствует шагу на технологическом подэтапе и угрозе и разделяется точкой. Следовательно, первая цифра пункта таблицы соответствует шагу на технологическом подэтапе, вторая - угрозе для этого шага на технологическом подэтапе. Например, номер 1.1, где согласно табл. 1 первая цифра - шаг "Формирование, передача и прием запроса (данных) для генерации QR-кода", а вторая - номер угрозы ("Угроза модификации запроса на формирование QR-кода").
ТИПОВЫЕ УГРОЗЫ БЕЗОПАСНОСТИ В ПРОЦЕССАХ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ С ИСПОЛЬЗОВАНИЕМ QR-КОДОВ
Табл. 1
N п/п
Шаг на технологическом подэтапе (индекс)
Наименование угрозы
Описание угрозы
Представление QR-кода
Объект воздействия
Тип QR-кода
QR-код с данными
QR-код со ссылкой
Сценарии использования QR-кода
Статический
Динамический
Статический
Динамический
1.1
Формирование, передача и прием запроса (данных) для генерации QR-кода (ФППЗ)
Угроза модификации запроса на формирование QR-кода
Угроза заключается в возможности подмены реквизитов запроса на формирование QR-кода. Угроза возможна, если злоумышленник имеет доступ к одному из следующих процессов - формированию (подготовке), передаче, приему запроса
Получатель
Запрос на формирование QR-кода
+
+
+
+
Плательщик
+
+
+
+
1.2
Угроза передачи неконтролируемых запросов на формирование QR-кода
Угроза обусловлена наличием несанкционированного доступа к АРМ ТСП, а также может быть вызвана ошибками прикладного ПО
Получатель
Сервис формирования данных для QR-кода
+
+
+
+
Плательщик
+
+
+
+
1.3
Угроза модификации данных, содержащихся в запросе на формирование QR-кода
Угроза заключается в возможности злоумышленника модифицировать данные, используемые в запросе на формирование QR-кода. Угроза возможна, если злоумышленник имеет доступ к сервису формирования данных для QR-кода
Получатель
Сервис формирования данных для QR-кода;
платежные реквизиты
+
+
+
+
Плательщик
+
+
+
+
2.1
Формирование и представление QR-кода плательщиком/получателем (ФиП)
Угроза модификации QR-кода при его формировании
Угроза заключается в возможности модификации QR-кода в процессе его преобразования в графический вид. Угроза возможна, если злоумышленник имеет доступ к сервису преобразования QR-кода в графический вид
Получатель
Алгоритм преобразования QR-кода в графический вид
+
+
+
+
Плательщик
+
+
+
+
2.2
Угроза подмены QR-кода
Угроза заключается в подмене всего изображения QR-кода или подмене отдельных значений QR-кода злоумышленником
Получатель
QR-код
+
+
+
+
Плательщик
+
+
+
+
2.3
Угроза кражи QR-кода плательщика
Угроза обусловлена возможностью злоумышленника похитить QR-код, сформированный плательщиком для получателя с целью совершения перевода денежных средств
Плательщик
QR-код
+
+
+
+
2.4
Угроза неконтролируемой передачи запросов на активацию QR-кода или ссылки
Угроза обусловлена наличием несанкционированного доступа к АРМ ТСП, а также может быть вызвана ошибками прикладного ПО или ошибочными действиями персонала
Получатель
Ресурс, на который ведет QR-код или платежная ссылка
-
-
+
+
Плательщик
-
-
+
+
2.5
Угроза включения в QR-код избыточных данных
Угроза заключается в добавлении избыточных конфиденциальных данных в QR-код в открытом виде
Получатель
QR-код
+
+
+
+
Плательщик
+
+
+
+
3.1
Сканирование и получение данных из QR-кода для дальнейшего осуществления перевода денежных средств (СиП)
Угроза повторного проведения перевода денежных средств
Угроза возможна, в случае если операция повторно проводится по одному и тому же QR-коду
Получатель
QR-код
+
+
+
+
Плательщик
+
+
+
+
3.2
Угроза внедрения вредоносного кода (вызова удаленных процедур) с использованием QR-кода на устройстве плательщика
Угроза обусловлена отсутствием мер по контролю целостности данных (QR-кода), а также отсутствием мер по запрету на выполнение вызова удаленных процедур ЭСП/платежным приложением
Получатель
QR-код
+
+
+
+
Плательщик
+
+
+
+
3.3
Угроза фишинга
Угроза заключается в перенаправлении плательщика/получателя на сторонний сервис для выполнения операций, вследствие сканирования модифицированного злоумышленником QR-кода
Получатель
QR-код
+
+
+
+
Плательщик
+
+
+
+
3.4
Угроза утечки конфиденциальных данных, содержащихся в QR-коде плательщика
Угроза обусловлена возможностью злоумышленника получить платежные данные, хранящиеся в QR-коде в открытом виде. Угроза актуальна для QR-кода с данными, сформированного плательщиком