Google Pay introduceert nieuwe meldingen en sms-waarschuwingen voor op UPI gebaseerde 'collect'-verzoeken om de kans op oplichting in India te verkleinen. Lees verder!
Google lanceerde Google Pay als Google Tez in India in september 2017, waarbij sterk werd voortgebouwd op het Unified Payments Interface (UPI)-platform van de overheid voor mobiel bankieren. Ondanks dat ze te laat op de markt zijn, heeft Google Tez kreeg 7,5 miljoen gebruikers in het land binnen vijf weken na de lancering. De dienst was uiteindelijk vorig jaar omgedoopt tot Google Pay, en de service is steeds populairder geworden vanwege het gebruiksgemak. Het gebruiksgemak van deze app heeft oplichters echter ook een aantal interessante methoden gegeven om mensen op te lichten geld, waardoor Google nu functies als notificaties en sms-alerts verder wil terugdringen oplichting.
Een van de belangrijkste kenmerken van het UPI-platform is de mogelijkheid om niet alleen geld te verzenden, maar ook om "incasso"-verzoeken te verzenden om betalingen te ontvangen. Deze functionaliteit wordt op grote schaal misbruikt via verschillende betalingsdiensten zoals Google Pay, PhonePe en andere. Vanuit een persoonlijke anekdote gesproken: oplichters hebben een modus operandi bedacht waarbij de aanvankelijke belofte aan een vreemdeling aan de andere kant is om hem geld te betalen, maar door slimme verwarring sturen de oplichters een incassoverzoek in plaats van een betaalverzoek, dat de gebruiker vervolgens per ongeluk goedkeurt vanwege een slecht UX-ontwerp op de betaling dienst.
Stel bijvoorbeeld dat een persoon (verkoper) zijn telefoon wil verkopen en daarvoor een vermelding op een verkoopplatform plaatst. Vervolgens ontvangt de verkoper een bod van een geïnteresseerde vreemdeling (koper) en wordt er een afspraak gemaakt voor het overhandigen van de telefoon. Vlak voor de bijeenkomst belt de koper verwoed de verkoper en staat erop om te betalen via een op UPI gebaseerde app, met behulp van creatieve excuses. De koper staat er verder op om het geld meteen over te maken en vraagt de verkoper om het verzoek te accepteren, zodat hij het geld in zijn app-gebaseerde portemonnee kan ontvangen. De verkoper accepteert het verzoek terwijl hij in gesprek is. Maar in plaats van geld te ontvangen, maakt de verkoper uiteindelijk zijn eigen geld over aan de koper (oplichter), omdat de oplichter geen betaalverzoek heeft gestuurd, maar een incassoverzoek. De elementen verrassing, haast en verwarring, samen met slechte UI-beslissingen, zoals het niet voldoende onderscheid maken tussen een betalingsverzoek en een verzamelverzoek waarmee een gebruiker gemakkelijk onderscheid kan maken tussen de twee, stelt de oplichter in staat zich onbewust op te lichten doelen. Dit is niet alleen maar een theoretische oplichterij, maar er zijn ook daadwerkelijke rapporten hierover breed uitgemeten.
Google heeft de hinder van deze oplichting onderkend en heeft daarom verschillende maatregelen getroffen die het moeilijker zouden moeten maken om deze, en andere vormen van fraude in het algemeen, te orkestreren. De Google Pay-app maakt gebruik van het SafetyNet-authenticatieplatform van Google, waardoor wordt voorkomen dat de app wordt uitgevoerd op apparaten die een groter risico lopen om te worden gecompromitteerd. De app gebruikt een pincode-invoerscherm om ongeautoriseerde toegang te beperken. Het voorkomt ook dat "bekende slechte acteurs" hun accounts in de app opnieuw kunnen aanmaken. Als een gebruiker een verzamelverzoek ontvangt van iemand die verdacht is of niet in zijn contacten, geeft de app een prominente 'vreemdeling'-waarschuwing weer.
Om incassoverzoeken nog prominenter te maken, heeft Google nu nieuwe meldingen en sms-waarschuwingen geïntroduceerd om de richting van de geldstroom te verduidelijken. Deze melding en sms benadrukken het feit dat bij het goedkeuren van het verzoek geld van de bankrekening van de gebruiker wordt afgeschreven.
Alleen al de mogelijkheid om verzamelverzoeken te verzenden en deze op zo'n eenvoudige manier te laten accepteren, lijkt een tekortkoming van het platform te zijn. De aansprakelijkheden die voortvloeien uit dit soort verzoeken blijken aanzienlijk groter te zijn dan het praktische nut van een dergelijk verzoek. Wij hopen dat deze ontwerpfout in de toekomst wordt verholpen.
Bron: Googlen