Банковские чат-боты в мессенджерах, которые используются для проведения операций со счетами, могут быть уязвимы для кибератак. Из-за этого злоумышленники смогут перевести деньги без ведома клиентов.
Об этом «Известиям» рассказал директор по информационной безопасности компании Awillix Александр Герасимов. Наличие рисков подтвердили в Positive Technologies.
Специалисты Awillix в ходе проверки безопасности чат-ботов в мессенджерах обнаружила схожие уязвимости у двух российских банков. Они позволяют получить номер и срок действия карт, узнать баланс счета и мобильный телефон клиента.
Кроме того, уязвимости позволяют попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции, например во время перевода денег.
По словам Александра Герасимова, аккаунты в мессенджере и на основном сайте банка не связаны между собой. Мошенник может получить доступ к аккаунту клиента в чат-боте, но не сможет добраться до основного личного кабинета.
Различные уязвимости чат-ботов зависят от их функциональности. Проблемы с безопасностью, например, помогут заполучить данные клиентов, попасть в их личные кабинеты в чат-боте или узнать баланс карты.
По данным Positive Technologies, самыми популярными сценариями обмана являются: изменение функционала чат-бота для сбора информации о человеке, который его использует, рассылка вредоносного программного обеспечения от имени банка, подмена робота на мошенника во время общения, создание поддельных чат-ботов банков.
Пользователь банковских чат-ботов может защитить свои средства с помощью двухфакторной аутентификации для входа в приложение, подчеркнули в «Инфосистемах Джет». В компании добавили, что также опасность грозит в тех случаях, когда мошенник получил прямой доступ к устройству жертвы физически или в результате вредоносной атаки.
В «Райффайзенбанке», «Открытии», «Абсолюте», «Росбанке», «Юникредите» и ВТБ газете сообщили, что ограничивают функциональность чат-ботов в мессенджерах. Там добавили, что популярность этого канала взаимодействия с клиентом активно растет.
Подписывайтесь на наш TG-канал, чтобы быть в курсе всех новостей и событий!
Фото: SFIO CRACHO / Shutterstock
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
-
Пройти курс «Наличка: как использовать, чтобы не нарушить 115-ФЗ»
- 1 Wired: Павел Дуров «застрял» во Франции еще на год
- 2 Coursera и Discord впервые оштрафовали за отказ локализовать данные россиян
- 3 ЦБ заметил всплеск мифов о цифровом рубле в соцсетях и мессенджерах
- 4 РКН начислил 35 млрд рублей штрафов иностранным платформам