Любые приложения, в том числе банковские, подвержены уязвимостям, которые зависят от функционала онлайн-банка. Это, например, могут быть уязвимости, позволяющие мошенникам получить данные клиента и доступ к его личному кабинету, узнать баланс карты.
По словам адвоката, к. ю. н., члена Совета Московского областного отделения Ассоциации юристов России Геннадия Нефедовского, идеальной электронной системы не существует. Есть проблемы и у банковских чат-ботов.
«Через банковских чат-ботов кибермошенники, вычисляя уязвимости системы, могут узнать срок действия карты, ее номер и баланс, а также вывести деньги. Основная хитрость заключается в том, что жертва мошенника даже не будет знать, что злоумышленник завладел ее личным кабинетом и совершил операции по карте», — говорит Нефедовский.
Самые популярные сценарии мошенничества с использованием банковских чат-ботов:
— рассылка вируса (вредоносного ПО) от имени банковской организации;
— сбор информации о клиенте банка (номер и срок действия карты, CVC-код, ФИО, контактный номер телефона, баланс карты);
— подмена банковского чат-бота на робота-мошенника во время переписки с банком.
Как себя обезопасить?
Геннадий Нефедовский напоминает, что в результате проверок двух банков были выявлены проблемы с их чат-ботами. Пользователям банковских приложений пора осторожнее пользоваться ими, считает эксперт.
Основатель и генеральный директор IT-компании Алексей Рыбаков дает следующие рекомендации о том, как обезопасить себя при использовании чат-ботов:
— Изучите условия работы чат-ботов, то, как они используют введенные пользователями данные. Все условия использования бота должны быть прописаны в правовых документах, которые должны соответствовать действующему законодательству.
— Для получения доступа к информации бот должен получить разрешение на это действие. Для этого он запрашивает его у пользователя. Стоит более внимательно следить за тем, какие разрешения чат-ботам вы предоставляете, доступ к каким данным открываете.
— Заведите отдельную карту для онлайн-покупок и ограничьте на ней бюджет.
— Пользуйтесь услугами крупных банков, которые следят за сохранностью пользовательских данных.
— Сообщайте боту минимально необходимую для финансовых операций персональную информацию.
«Важно производить все операции из защищенного банковского приложения, если это делается с мобильного устройства, и проводить их обязательно без задействования сторонних систем, например Viber, Telegram и тому подобных. При использовании двухфакторной аутентификации, когда кроме введения пароля каждая операция подтверждается СМС-кодом либо push-уведомлением, возможность неконтролируемых переводов или списаний полностью исключается», — добавляет директор по продуктовой стратегии Сергей Иванов.
Кроме того, следует помнить, что уязвимости также могут быть в мессенджерах, а не только в чат-ботах. Чтобы не стать жертвой аферистов, нужно следить за безопасностью не только банковского приложения, отмечает руководитель группы исследований безопасности банковских систем Максим Костиков. Эксперт рекомендует использовать двухфакторную аутентификацию и в онлайн-банке, и в мессенджерах.
Также, по словам руководителя практики аналитических решений для противодействия мошенничеству и финансовым преступлениям Алексея Коняева, важно следовать правилам безопасности, которые актуальны при любых обстоятельствах. Никому нельзя сообщать пин-код и данные карты.
«Если вы заметили подозрительную активность с вашей картой/приложением/чат-ботом, без промедления позвоните в банк», — советует он.
