Деньги вышли из чата
Мошенники научились пользоваться недоработками чат-ботов российских кредитных организаций.
Критические уязвимости чаще всего присутствуют в ботах, работающих через мессенджеры, и поддерживающих выборочные действия со счетами, сообщил в беседе с «Известиями» директор по информационной безопасности компании «Awillix» Александр Герасимов.
Примечательно, что в чат-ботах двух крупных банков РФ, которые изучили эксперты, недоработки оказались идентичными. Используя их, аферисты могут завладеть не только номером карты и узнать дату окончания ее действия, но и получить телефонный номер, к которому привязана карта, а также текущий баланс по счету. Подобных сведений достаточно для реализации мошеннической схемы на основе социальной инженерии, подчеркивает Герасимов.
Другие пробелы в утилитах позволяют зайти в чат-бот от имени клиента стороннему лицу, и осуществить доступные в нем операции, включительно с денежными транзакциями. При этом аферисты обходят двухфакторную идентификацию, поскольку код подтверждения перевода денег приходит непосредственно в чат-боте. Утешительной новостью стало то, что взлом доступа в чат-бот не приводит к автоматическому проникновению мошенников в личный кабинет жертвы на портале банка или в его приложении, уточнил специалист.
По подсчетам гендиректора группы «Т1» Сергея Соловьева, чат-боты в мессенджерах, соцсетях, приложениях для смартфонов и других утилитах завели порядка 10% отечественных финучреждений. Как правило, через чат-боты клиентам сообщают о появлении новых продуктов и услуг, рассылают курсы валют, также сервис используется для открытия и блокировки карт и выполнения базовых операций по ним, включительно с переводом денег.
Среди банков, которые добавили чат-боты в мобильные приложения, – «Внешторгбанк», «Открытие», «Тинькофф», «Райффайзенбанк» и другие. Через мессенджеры работают боты тех же «Внешторгбанка» и «Райффайзенбанка», а также «Промсвязьбанка», «Росбанка», «Абсолюта» и «Юникредита». Как правило, кредитные организации активируют ботов не во всех мессенджерах, а в 1-2 на выбор. В их числе – Viber, Telegram и WhatsApp.
Представители финучреждений говорят, клиенты охотно пользуются сервисом – в «Райффайзенбанк» из чат-ботов поступает каждое третье обращение, в «Юникредит» – каждое восьмое, а в «Росбанк» – каждое десятое. В «ВТБ» добавляют, ежемесячно чат-ботами пользуется 500 тыс. клиентов. В «Хоум кредите» это число достигает 200 тыс.
В «Райффайзенбанке» уверяют, для получения конфиденциальных сведений через чат-бот клиент должен пройти авторизацию через приложение либо портал. Идентичный алгоритм озвучили в «Абсолюте», «Юникредите» и других банках. В «Промсвязьбанке» добавляют, провести платеж через бота можно исключительно после авторизации.
Глава группы исследований безопасности банковских систем «Positive Technologies» Максим Костиков отмечает, слабые места конкретного чат-бота определяются функционалом, который он поддерживает. Кроме того, мошенники могут контролировать чат-бот полностью либо частично. В случае тотального захвата бота киберпреступник сможет снять с карты все деньги. Перед этим ему потребуется отключить дополнительные факторы подтверждения транзакции – такие, как получение кода через СМС либо push-уведомление. В отдельных ботах отмена таких подтверждений доступна.
Среди прочих часто встречающихся уязвимостей ботов – возможность обхода лимита для денежных операций, которые установлены для конкретной карты, а также некорректное округление суммы при конвертации из одной валюты в другую, перечисляет Костиков. Также, вмешавшись в функционирование бота, преступники могут подгрузить в него вредоносный скрипт, который якобы от имени банка начнет запрашивать у клиента персональные данные. Кроме того, хакерам под силу заменить собой банковского робота – в этом случае пользователь будет общаться напрямую с аферистом.
Эксперты «Инфосистем Джет» резюмируют, чтобы не потерять все средства через многофункциональный чат-бот, ни в коем случае нельзя отказываться от двухфакторной аутентификации. Но и эта мера предосторожности может подвести, если мошенники подключатся к гаджету держателя карты – завладев самим смартфоном, либо установив на него специальную программу, признают в компании.