Уязвимости в банковских чат-ботах позволяют красть деньги
Теперь мошенники могут новым способом переводить деньги без ведома банковских клиентов. Они нашли лазейку при работе с банками через мессенджеры
В банковских чат-ботах обнаружены уязвимости, которые дают мошенникам возможность переводить деньги без ведома клиентов. При этом популярность взаимодействия с банками через мессенджеры активно растет.
Проведены проверки безопасности чат-ботов в двух российских кредитных организациях. Они продемонстрировали схожие логические уязвимости. При определенном подходе можно получить номер и срок действия карт, а также узнать баланс счета и мобильный телефон клиента.
Если завладеть такой информацией, то можно совершать дальнейшие атаки на пользователей, например, при помощи социальной инженерии. Уязвимости позволяют получить доступ к личному кабинету клиента в чат-боте. Так преступники могут обойти механизм подтверждения операции. Например, во время перевода денег с одного счета на другой. А большего мошенникам и не нужно.
Аккаунты в мессенджере и на сайте банка не связаны между собой. Получается, что злоумышленник не получит доступ к основному личному кабинету, если взломает доступ к аккаунту пользователя в чат-боте.
Есть еще один момент: банков, которые используют чат-боты, всего лишь около 10%. Они могут применяться в мессенджерах, мобильных приложениях, в соцсетях или на сайтах. Некоторые банки используют чат-ботов в своих контакт-центрах. Они применяются как для получения нужной информации, так и для совершения различных операций, например переводов или платежей. Это инструмент с широким функционалом.
Роботы-помощники обычно умеют отвечать на простые вопросы и, по заверениям банкиров, выдают персональные данные только в тех каналах, где пользователь уже прошел аутентификацию как клиент банка. Они уверяют, что общение с ботом защищено.
Самые популярные сценарии обмана касаются изменения функционала бота. Так злоумышленники могут получить доступ к информации о клиенте. Преступники могут создать поддельного банковского бота или подменить его в процессе общения. Всем пользователям подобных сервисов рекомендуется настроить двухфакторную аутентификацию с использованием одноразового кода.