В банковских чат-ботах обнаружили уязвимости для кибератак

Об этом «Известиям» рассказал директор по информационной безопасности компании Awillix Александр Герасимов. Наличие рисков подтвердили в Positive Technologies.

Специалисты Awillix в ходе проверки безопасности чат-ботов в мессенджерах обнаружила схожие уязвимости у двух российских банков. Они позволяют получить номер и срок действия карт, узнать баланс счета и мобильный телефон клиента.

Кроме того, уязвимости позволяют попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции, например во время перевода денег.

По словам Александра Герасимова, аккаунты в мессенджере и на основном сайте банка не связаны между собой. Мошенник может получить доступ к аккаунту клиента в чат-боте, но не сможет добраться до основного личного кабинета.

Различные уязвимости чат-ботов зависят от их функциональности. Проблемы с безопасностью, например, помогут заполучить данные клиентов, попасть в их личные кабинеты в чат-боте или узнать баланс карты.

По данным Positive Technologies, самыми популярными сценариями обмана являются: изменение функционала чат-бота для сбора информации о человеке, который его использует, рассылка вредоносного программного обеспечения от имени банка, подмена робота на мошенника во время общения, создание поддельных чат-ботов банков.

Пользователь банковских чат-ботов может защитить свои средства с помощью двухфакторной аутентификации для входа в приложение, подчеркнули в «Инфосистемах Джет». В компании добавили, что также опасность грозит в тех случаях, когда мошенник получил прямой доступ к устройству жертвы физически или в результате вредоносной атаки.

В «Райффайзенбанке», «Открытии», «Абсолюте», «Росбанке», «Юникредите» и ВТБ газете сообщили, что ограничивают функциональность чат-ботов в мессенджерах. Там добавили, что популярность этого канала взаимодействия с клиентом активно растет.

Подписывайтесь на наш TG-канал, чтобы быть в курсе всех новостей и событий!

Фото: SFIO CRACHO / Shutterstock