Google Pay sta introducendo nuove notifiche e avvisi SMS per le richieste di "riscossione" basate su UPI al fine di ridurre la possibilità di truffe in India. Continuare a leggere!
Google ha lanciato Google Pay come Google Tez in India nel settembre 2017, basandosi fortemente sulla piattaforma Unified Payments Interface (UPI) del governo per le transazioni bancarie su dispositivi mobili. Nonostante sia arrivato in ritardo sul mercato, Google Tez guadagnato 7,5 milioni di utenti nel paese entro cinque settimane dal suo lancio. Alla fine il servizio era rinominato Google Pay l'anno scorsoe il servizio ha continuato a crescere in popolarità grazie alla sua facilità d'uso. Tuttavia, la facilità d'uso di questa app ha anche fornito ai truffatori alcuni metodi interessanti per truffare le persone soldi, a causa della quale Google ha ora introdotto funzionalità come notifiche e avvisi via SMS per ridurre ulteriormente fregature.
Una delle caratteristiche salienti della piattaforma UPI è la possibilità non solo di inviare denaro, ma anche di inviare richieste di "incasso" per ricevere pagamenti. Questa funzionalità è stata ampiamente abusata attraverso diversi servizi di pagamento come Google Pay, PhonePe e gli altri. Parlando per aneddoto personale, i truffatori hanno escogitato un modus operandi in cui la promessa iniziale fatta a uno sconosciuto dall'altra parte è di pagargli dei soldi, ma attraverso un'abile confusione, i truffatori inviano una richiesta di incasso invece di una richiesta di pagamento, che l'utente poi approva inavvertitamente a causa della cattiva progettazione UX del pagamento servizio.
Ad esempio, supponiamo che una persona (venditore) desideri vendere il proprio telefono e, per farlo, pubblichi un annuncio su una piattaforma di vendita. Il venditore riceve quindi un'offerta da uno sconosciuto interessato (acquirente) e viene organizzato un incontro per la consegna del telefono. Subito prima dell'incontro, l'acquirente chiama freneticamente il venditore e insiste per pagare tramite un'app basata su UPI, utilizzando scuse creative. L'acquirente insiste inoltre per trasferire subito il denaro e chiede al venditore di accettare la richiesta in modo da ricevere il denaro nel suo portafoglio basato sull'app. Il venditore accetta la richiesta rimanendo in chiamata. Ma invece di ricevere denaro, il venditore finisce per trasferire i propri soldi all'acquirente (truffatore) perché il truffatore non aveva inviato una richiesta di pagamento, ma una richiesta di riscossione. Gli elementi di sorpresa, fretta e confusione, insieme a decisioni inadeguate sull'interfaccia utente come la mancata differenziazione sufficiente tra una richiesta di pagamento e una richiesta di raccolta per consentire a un utente di distinguere facilmente tra i due, consente al truffatore di truffare con successo ignaro obiettivi. Questa non è solo una truffa teorica, ma sono stati ampiamente riportati rapporti reali sulla stessa.
Google ha riconosciuto la pericolosità di queste truffe e di conseguenza ha messo in atto diverse misure che dovrebbero rendere queste, e altre frodi in generale, più difficili da orchestrare. L'app Google Pay utilizza la piattaforma di autenticazione SafetyNet di Google che ne impedisce l'esecuzione su dispositivi che presentano un rischio maggiore di essere compromessi. L'app utilizza una schermata di immissione del PIN per limitare l'accesso non autorizzato. Impedisce inoltre ai "cattivi attori noti" di ricreare i propri account sull'app. Se un utente riceve una richiesta di ritiro da qualcuno sospetto o non presente nei suoi contatti, l'app visualizza un avviso di "estraneo" ben visibile.
Per rendere le richieste di incasso ancora più evidenti, Google ha ora introdotto nuove notifiche e avvisi via SMS per chiarire la direzione del flusso di denaro. Questa notifica e questo SMS evidenzieranno il fatto che l'approvazione della richiesta detrarrà denaro dal conto bancario dell'utente.
La stessa capacità di inviare richieste di ritiro e di farle accettare in modo così semplice sembra essere un difetto della piattaforma. Le responsabilità che derivano da questo tipo di richieste sembrano essere sostanzialmente maggiori dell'utilità pratica di tale richiesta. Speriamo che questo difetto di progettazione venga corretto in futuro.
Fonte: Google