Эксперты обнаружили уязвимости в банковских чат-ботах

Специалисты обнаружили в банковских чат-ботах уязвимости, которые могут позволить мошенникам переводить деньги без ведома клиентов, пишут  «Известия», ссылаясь на Awillix. Как рассказал директор по информационной безопасности компании Александр Герасимов, уязвимости позволяют получить номер и срок действия карт, а также узнать баланс счета и мобильный телефон клиента. Также они позволяют попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции, например, во время перевода денег. При этом аккаунты в мессенджере и на основном сайте банка не связаны между собой: если злоумышленник получит доступ к аккаунту пользователя в чат-боте, это не означает, что он получит доступ к основному личному кабинету, подчеркнул эксперт.

В своих банковских онлайн-приложениях чат-ботов уже запустили ВТБ, Абсолют Банк, Райффайзенбанк, «Открытие», Росбанк, «Хоум Кредит», «ЮниКредит», «Тинькофф», крымский РНКБ, МТС Банк, Почта Банк, сообщили их представители. Однако чат-ботов в крупнейших мессенджерах реализовали ВТБ и Райффайзенбанк, «Абсолют» и Росбанк представили технологию только в WhatsApp. «ЮниКредит» коммуницирует через Viber, но только с МСБ, а Промсвязьбанк ― с этим же сегментом через Telegram. Планируют запустить робота-помощника в чате УБРиР, «Зенит» и «Ренессанс Кредит».

Для обеспечения безопасности Райффайзенбанк позволяет чат-боту присылать персональную информацию только в тех каналах, где пользователь уже прошел аутентификацию как клиент банка ― в приложении банка или в личном кабинете на сайте. Такой же политики придерживаются в «Открытии», «Абсолюте», Росбанке, «ЮниКредите» и ВТБ. В Промсвязьбанке чат-бот для представителей МСБ умеет отвечать на простые вопросы, высылать выписку, выставлять счет и отправлять платеж после авторизации.

По словам руководителя группы исследований безопасности банковских систем Positive Technologies Максима Костикова, проблемы с безопасностью могут позволить получить полный контроль над чат-ботом или доступ к базе данных с информацией о пользователях, загрузке зловредных файлов для рассылок. Также злоумышленник может получить доступ к данным клиента или попытаться инициировать перевод денежных средств. Но в случае перевода он должен будет ввести второй фактор подтверждения операций (обычно это код из СМС или push-уведомления), если эта опция включена в настройках личного кабинета приложения и поддерживается чат-ботом. Если злоумышленник полностью контролирует чат-бот, то его возможности для мошенничества неограниченны, пояснил Костиков.

По его словам, самые популярные сценарии обмана ― изменение функционала чат-бота для сбора информации о человеке, который его использует, рассылка вредоносного программного обеспечения от имени кредитной организации, подмена робота на мошенника во время общения, создание поддельных чат-ботов банков.