Специалисты компании Awillix, которая специализируется на кибербезопасности, провели исследование и обнаружили уязвимые места в банковских чат-ботах. Из-за недоработок системы безопасности мошенники могут без подтверждения клиентов переводить деньги со счетов.
В ходе проведенного исследования в двух банках были выявлены схожие уязвимости. Через чат-ботов в мессенджерах можно узнать:
Этой информации достаточно, что атаковать пользователей, к примеру, используя социальную инженерию. Логические ошибки в работе чат-ботов позволяют злоумышленникам попасть в личный кабинет владельца банковского счета, а также обойти подтверждение операции при переводе денег.
При тестировании безопасности специалистам Awillix удалось получить необходимый для перевода средств код в мессенджере. Отмечается, что аккаунт в мессенджере и личный кабинет при этом могут быть не связанными между собой.
При этом старые («проверенные») методы обмана, например, SMS-спам тоже продолжает активно использоваться мошенниками. Как избавиться от спам-рассылки читайте здесь.
Чат-боты уже используются в 10% банков в России. Они уже запущены в фирменных приложениях:
Росбанк через мессенджеры уже обрабатывает около 10% от всех операций, Юникредит — 12%, а в Райффайзенбанке на этот способ приходится треть запросов от клиентов. В Тинькофф и ВТБ метод за последний год стал в два раза популярнее.
Максим Костиков, руководитель группы исследований безопасности банковских систем в компании Positive Technologies, в интервью изданию «Известия» прокомментировал ситуацию так:
«Если рассматривать случаи с небезопасными чат-ботами, то, к примеру, злоумышленник может получить доступ к данным клиента или попытаться инициировать перевод денежных средств. Но в случае перевода он также должен будет ввести второй фактор подтверждения операций (обычно это код из SMS или push-уведомления), если эта опция включена в настройках личного кабинета приложения и поддерживается чат-ботом. Если злоумышленник полностью контролирует чат-бот, то его возможности для мошенничества неограниченны»
Если клиент пользуется банковским чат-ботом, функционал которого позволяет переводить деньги, то для повышения безопасности лучше настроить двухфакторную аутентификацию — авторизацию в приложении.
Редакция проекта Mickrozaim.ru не первый раз рассказывает, как не стать жертвой обмана и что делать, если у вас списали деньги кредитные брокеры. Для повышения ваших знаний рекомендуем ознакомиться со следующими статьями: «ZnakiSchool ru — почему школа астрологии ежемесячно списывает деньги», «Сервис Mr.Zaim: отписываемся» или «Как избавиться от Dadimcash и отписаться от платных услуг».
