Примерное время чтения: 5 минут
4870

Аферисты на связи. Как мошенники крадут деньги через банковские чат-боты

wutzkohphoto / Shutterstock.com

Во многих мобильных банковских приложениях есть чат-боты, в которых можно заказать выписку со счета, оперативно заблокировать карту и задать любой вопрос по кредитке/кешбэку и проч.

Чат-боты являются информационными сервисами и обычно не предоставляют доступа к снятию денег, переводам и другим платежным операциям, говорит руководитель направления развития голосовых продуктов и интеллектуальных сервисов Юрий Ледаков.

«Конечно, есть банки, которые игнорируют требования безопасности. Это, как правило, маленькие финансовые организации, которые не хотят инвестировать и берут дешевые чат-боты у стартаперов, где вопросы безопасности не являются приоритетными. В результате они получают проблемы с репутацией и претензии со стороны клиентов», — делится Ледаков.

Вместе с экспертами по информационной безопасности АиФ.ru рассказывает, как аферисты используют банковские чат-боты.

Мошенники вошли в чат

Многие банки используют чат-боты как в мобильном приложении, так и в популярных мессенджерах, таких как Telegram, WhatsApp, VK и др. Это боты собственной разработки банков или готовые продукты для интеграции в систему финансовой организации, рассказывает руководитель группы исследований безопасности банковских систем Максим Костиков.

«Как и другие приложения, чат-боты могут быть подвержены уязвимостям различного характера, и типы этих уязвимостей зависят от функционала чат-бота (например, уязвимости, позволяющие получить данные клиентов, попасть в личный кабинет клиента в чат-боте, узнать баланс карты и др).

Кроме логических уязвимостей (например, перевод денег от другого пользователя, округление суммы в большую сторону при переводе валюты, обход лимитов для карточки), которые встречаются в финансовой сфере, боты могут содержать и стандартные уязвимости приложений (например, получение полного контроля над чат-ботом, получение доступа к базе данных с информацией о пользователях, загрузка зловредных файлы для рассылок), так как являются программным обеспечением», — поясняет он.

В свою очередь руководитель практики аналитических решений для противодействия мошенничеству и финансовым преступлениям Алексей Коняев добавляет, что некоторые банковские чат-боты уже умеют не только отвечать на простые вопросы, но и помогать с финансовыми операциями, в частности, с переводом денег. Часто достаточно написать короткий запрос, ввести код подтверждения из sms-сообщения, а бот сделает все остальное.

Именно проведение активных операций является наиболее слабой стороной чат-ботов, предупреждает эксперт. Некоторые уязвимости ботов могут помочь злоумышленникам получить номер и срок действия карт, узнать баланс счета и мобильный телефон пользователя.

«Еще одна опасность кроется в том, что мошенники могут попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции. Среди наиболее частых сценариев обмана также встречаются подмена робота на мошенника и создание поддельных чат-ботов», — отмечает он.

По словам Костикова, одни из распространенных мошеннических схем — это изменение функционала чат-бота для сбора информации о человеке, который его использует, рассылка вредоносного программного обеспечения от имени банка, подмена общения чат-бота на мошенника, создание поддельных чат-ботов банков.

Часто ли в банковских чат-ботах обнаруживаются уязвимости?

Статистики по взлому чат-ботов сейчас нет, признается Костиков. Но возможности ботов интересуют злоумышленников. «Например, были случаи, когда мошенники могли внедрять зловредный код в чат-бота, который потом крал карточные данные других пользователей или использовали функционал бота для получения информации о клиентах банка. Можно с уверенностью сказать, что чат-боты банков атакуют злоумышленники с целью найти уязвимости для кражи денежных средств или получения информации для дальнейшей атаки на клиента банка», — делится эксперт.

По его словам, опасность взлома чат-ботов напрямую зависит от предоставляемого функционала, архитектуры и типа найденных уязвимостей. «Если рассматривать случаи с небезопасными чат-ботами, то, к примеру, злоумышленник может получить доступ к данным клиента или попытаться инициировать перевод денежных средств, но в случае перевода он также должен будет ввести второй фактор подтверждения операций (обычно это код из смс или push-уведомление), если эта опция включена в настройках личного кабинета приложения и поддерживается чат-ботом. Если злоумышленник полностью контролирует чат-бота, то его возможности для мошенничества не ограничены», — резюмирует Костиков.

Оцените материал
Оставить комментарий (0)

Топ 5 читаемых



Самое интересное в регионах