Уязвимости в банковских чат-ботах позволяют красть деньги

Теперь мошенники могут новым способом переводить деньги без ведома банковских клиентов. Они нашли лазейку при работе с банками через мессенджеры

Юрий Муранов
Юрий Муранов
Главный редактор

В банковских чат-ботах обнаружены уязвимости, которые дают мошенникам возможность переводить деньги без ведома клиентов. При этом популярность взаимодействия с банками через мессенджеры активно растет. 

Проведены проверки безопасности чат-ботов в двух российских кредитных организациях. Они продемонстрировали схожие логические уязвимости. При определенном подходе можно получить номер и срок действия карт, а также узнать баланс счета и мобильный телефон клиента.

Если завладеть такой информацией, то можно совершать дальнейшие атаки на пользователей, например, при помощи социальной инженерии. Уязвимости позволяют получить доступ к личному кабинету клиента в чат-боте. Так преступники могут обойти механизм подтверждения операции. Например, во время перевода денег с одного счета на другой. А большего мошенникам и не нужно.

Аккаунты в мессенджере и на сайте банка не связаны между собой. Получается, что злоумышленник не получит доступ к основному личному кабинету, если взломает доступ к аккаунту пользователя в чат-боте. 

Есть еще один момент: банков, которые используют чат-боты, всего лишь около 10%. Они могут применяться в мессенджерах, мобильных приложениях, в соцсетях или на сайтах. Некоторые банки используют чат-ботов в своих контакт-центрах. Они применяются как для получения нужной информации, так и для совершения различных операций, например переводов или платежей. Это инструмент с широким функционалом.

Роботы-помощники обычно умеют отвечать на простые вопросы и, по заверениям банкиров, выдают персональные данные только в тех каналах, где пользователь уже прошел аутентификацию как клиент банка. Они уверяют, что общение с ботом защищено. 

Чат-боты имеют уязвимости различного характера. Например, они могут ошибиться при переводах, округлить сумму транзакции в большую сторону, забыть про лимиты для карточки. Также можно получить полный контроль над чат-ботом или доступ к базе данных с информацией о пользователях. Получается, робот дает неограниченные возможности для мошенников.

Самые популярные сценарии обмана касаются изменения функционала бота. Так злоумышленники могут получить доступ к информации о клиенте. Преступники могут создать поддельного банковского бота или подменить его в процессе общения. Всем пользователям подобных сервисов рекомендуется настроить двухфакторную аутентификацию с использованием одноразового кода.

Информация была полезна?
11 оценок, среднее: 4.6 из 5
Оставить комментарий
Отмена
Мы используем файлы Cookie