Во многих мобильных банковских приложениях есть чат-боты, в которых можно заказать выписку со счета, оперативно заблокировать карту и задать любой вопрос по кредитке/кешбэку и проч.
Чат-боты являются информационными сервисами и обычно не предоставляют доступа к снятию денег, переводам и другим платежным операциям, говорит руководитель направления развития голосовых продуктов и интеллектуальных сервисов Юрий Ледаков.
«Конечно, есть банки, которые игнорируют требования безопасности. Это, как правило, маленькие финансовые организации, которые не хотят инвестировать и берут дешевые чат-боты у стартаперов, где вопросы безопасности не являются приоритетными. В результате они получают проблемы с репутацией и претензии со стороны клиентов», — делится Ледаков.
Вместе с экспертами по информационной безопасности АиФ.ru рассказывает, как аферисты используют банковские чат-боты.
Мошенники вошли в чат
Многие банки используют чат-боты как в мобильном приложении, так и в популярных мессенджерах, таких как Telegram, WhatsApp, VK и др. Это боты собственной разработки банков или готовые продукты для интеграции в систему финансовой организации, рассказывает руководитель группы исследований безопасности банковских систем Максим Костиков.
«Как и другие приложения, чат-боты могут быть подвержены уязвимостям различного характера, и типы этих уязвимостей зависят от функционала чат-бота (например, уязвимости, позволяющие получить данные клиентов, попасть в личный кабинет клиента в чат-боте, узнать баланс карты и др).
Кроме логических уязвимостей (например, перевод денег от другого пользователя, округление суммы в большую сторону при переводе валюты, обход лимитов для карточки), которые встречаются в финансовой сфере, боты могут содержать и стандартные уязвимости приложений (например, получение полного контроля над чат-ботом, получение доступа к базе данных с информацией о пользователях, загрузка зловредных файлы для рассылок), так как являются программным обеспечением», — поясняет он.
В свою очередь руководитель практики аналитических решений для противодействия мошенничеству и финансовым преступлениям Алексей Коняев добавляет, что некоторые банковские чат-боты уже умеют не только отвечать на простые вопросы, но и помогать с финансовыми операциями, в частности, с переводом денег. Часто достаточно написать короткий запрос, ввести код подтверждения из sms-сообщения, а бот сделает все остальное.
Именно проведение активных операций является наиболее слабой стороной чат-ботов, предупреждает эксперт. Некоторые уязвимости ботов могут помочь злоумышленникам получить номер и срок действия карт, узнать баланс счета и мобильный телефон пользователя.
«Еще одна опасность кроется в том, что мошенники могут попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции. Среди наиболее частых сценариев обмана также встречаются подмена робота на мошенника и создание поддельных чат-ботов», — отмечает он.
По словам Костикова, одни из распространенных мошеннических схем — это изменение функционала чат-бота для сбора информации о человеке, который его использует, рассылка вредоносного программного обеспечения от имени банка, подмена общения чат-бота на мошенника, создание поддельных чат-ботов банков.
Часто ли в банковских чат-ботах обнаруживаются уязвимости?
Статистики по взлому чат-ботов сейчас нет, признается Костиков. Но возможности ботов интересуют злоумышленников. «Например, были случаи, когда мошенники могли внедрять зловредный код в чат-бота, который потом крал карточные данные других пользователей или использовали функционал бота для получения информации о клиентах банка. Можно с уверенностью сказать, что чат-боты банков атакуют злоумышленники с целью найти уязвимости для кражи денежных средств или получения информации для дальнейшей атаки на клиента банка», — делится эксперт.
По его словам, опасность взлома чат-ботов напрямую зависит от предоставляемого функционала, архитектуры и типа найденных уязвимостей. «Если рассматривать случаи с небезопасными чат-ботами, то, к примеру, злоумышленник может получить доступ к данным клиента или попытаться инициировать перевод денежных средств, но в случае перевода он также должен будет ввести второй фактор подтверждения операций (обычно это код из смс или push-уведомление), если эта опция включена в настройках личного кабинета приложения и поддерживается чат-ботом. Если злоумышленник полностью контролирует чат-бота, то его возможности для мошенничества не ограничены», — резюмирует Костиков.
