Во многих мобильных банковских приложениях есть чат-боты, в которых можно заказать выписку со счета, оперативно заблокировать карту и задать любой вопрос по кредитке/кешбэку и проч.
«Конечно, есть банки, которые игнорируют требования безопасности. Это, как правило, маленькие финансовые организации, которые не хотят инвестировать и берут дешевые чат-боты у стартаперов, где вопросы безопасности не являются приоритетными. В результате они получают проблемы с репутацией и претензии со стороны клиентов», — делится Ледаков.
Вместе с экспертами по информационной безопасности АиФ.ru рассказывает, как аферисты используют банковские чат-боты.
Мошенники вошли в чат
«Как и другие приложения, чат-боты могут быть подвержены уязвимостям различного характера, и типы этих уязвимостей зависят от функционала чат-бота (например, уязвимости, позволяющие получить данные клиентов, попасть в личный кабинет клиента в чат-боте, узнать баланс карты и др).
Кроме логических уязвимостей (например, перевод денег от другого пользователя, округление суммы в большую сторону при переводе валюты, обход лимитов для карточки), которые встречаются в финансовой сфере, боты могут содержать и стандартные уязвимости приложений (например, получение полного контроля над чат-ботом, получение доступа к базе данных с информацией о пользователях, загрузка зловредных файлы для рассылок), так как являются программным обеспечением», — поясняет он.
Именно проведение активных операций является наиболее слабой стороной чат-ботов, предупреждает эксперт. Некоторые уязвимости ботов могут помочь злоумышленникам получить номер и срок действия карт, узнать баланс счета и мобильный телефон пользователя.
«Еще одна опасность кроется в том, что мошенники могут попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции. Среди наиболее частых сценариев обмана также встречаются подмена робота на мошенника и создание поддельных чат-ботов», — отмечает он.
По словам Костикова, одни из распространенных мошеннических схем — это изменение функционала чат-бота для сбора информации о человеке, который его использует, рассылка вредоносного программного обеспечения от имени банка, подмена общения чат-бота на мошенника, создание поддельных чат-ботов банков.
Часто ли в банковских чат-ботах обнаруживаются уязвимости?
Статистики по взлому чат-ботов сейчас нет, признается Костиков. Но возможности ботов интересуют злоумышленников. «Например, были случаи, когда мошенники могли внедрять зловредный код в чат-бота, который потом крал карточные данные других пользователей или использовали функционал бота для получения информации о клиентах банка. Можно с уверенностью сказать, что чат-боты банков атакуют злоумышленники с целью найти уязвимости для кражи денежных средств или получения информации для дальнейшей атаки на клиента банка», — делится эксперт.
По его словам, опасность взлома чат-ботов напрямую зависит от предоставляемого функционала, архитектуры и типа найденных уязвимостей. «Если рассматривать случаи с небезопасными чат-ботами, то, к примеру, злоумышленник может получить доступ к данным клиента или попытаться инициировать перевод денежных средств, но в случае перевода он также должен будет ввести второй фактор подтверждения операций (обычно это код из смс или push-уведомление), если эта опция включена в настройках личного кабинета приложения и поддерживается чат-ботом. Если злоумышленник полностью контролирует чат-бота, то его возможности для мошенничества не ограничены», — резюмирует Костиков.