Эксперты обнаружили уязвимости в банковских чат-ботах

Введите запрос для поиска

Скрыть поиск

Эксперты обнаружили уязвимости в банковских чат-ботах

Специалисты обнаружили в банковских чат-ботах уязвимости, которые могут позволить мошенникам переводить деньги без ведома клиентов, пишут  «Известия», ссылаясь на Awillix. Как рассказал директор по информационной безопасности компании Александр Герасимов, уязвимости позволяют получить номер и срок действия карт, а также узнать баланс счета и мобильный телефон клиента. Также они позволяют попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции, например, во время перевода денег. При этом аккаунты в мессенджере и на основном сайте банка не связаны между собой: если злоумышленник получит доступ к аккаунту пользователя в чат-боте, это не означает, что он получит доступ к основному личному кабинету, подчеркнул эксперт.

В своих банковских онлайн-приложениях чат-ботов уже запустили ВТБ, Абсолют Банк, Райффайзенбанк, «Открытие», Росбанк, «Хоум Кредит», «ЮниКредит», «Тинькофф», крымский РНКБ, МТС Банк, Почта Банк, сообщили их представители. Однако чат-ботов в крупнейших мессенджерах реализовали ВТБ и Райффайзенбанк, «Абсолют» и Росбанк представили технологию только в WhatsApp. «ЮниКредит» коммуницирует через Viber, но только с МСБ, а Промсвязьбанк ― с этим же сегментом через Telegram. Планируют запустить робота-помощника в чате УБРиР, «Зенит» и «Ренессанс Кредит».

Для обеспечения безопасности Райффайзенбанк позволяет чат-боту присылать персональную информацию только в тех каналах, где пользователь уже прошел аутентификацию как клиент банка ― в приложении банка или в личном кабинете на сайте. Такой же политики придерживаются в «Открытии», «Абсолюте», Росбанке, «ЮниКредите» и ВТБ. В Промсвязьбанке чат-бот для представителей МСБ умеет отвечать на простые вопросы, высылать выписку, выставлять счет и отправлять платеж после авторизации.

По словам руководителя группы исследований безопасности банковских систем Positive Technologies Максима Костикова, проблемы с безопасностью могут позволить получить полный контроль над чат-ботом или доступ к базе данных с информацией о пользователях, загрузке зловредных файлов для рассылок. Также злоумышленник может получить доступ к данным клиента или попытаться инициировать перевод денежных средств. Но в случае перевода он должен будет ввести второй фактор подтверждения операций (обычно это код из СМС или push-уведомления), если эта опция включена в настройках личного кабинета приложения и поддерживается чат-ботом. Если злоумышленник полностью контролирует чат-бот, то его возможности для мошенничества неограниченны, пояснил Костиков.

По его словам, самые популярные сценарии обмана ― изменение функционала чат-бота для сбора информации о человеке, который его использует, рассылка вредоносного программного обеспечения от имени кредитной организации, подмена робота на мошенника во время общения, создание поддельных чат-ботов банков.

Источник: Banki.ru
Тэги:

Читайте также

ВТБ запустит цифрового помощника для предугадывания желаний клиентов
ВТБ готовит к запуску цифрового помощника, который с помощью технологий искусственного интеллекта будет предугадывать желания клиентов
АТБ улучшил условия по накопительным счетам
С 1 июля 2025 года Азиатско-Тихоокеанский банк расширил возможности для получения повышенных процентных ставок по накопительным счетам
Клиенты ВТБ оформили социальные выплаты на 129 миллиардов рублей через мобильный банк
ВТБ продолжает развивать сервисы, упрощающие получение государственных социальных выплат для россиян
Набиуллина назвала условия для более быстрого снижения ставки
Набиуллина назвала снижение инфляции условием для более быстрого снижения ставки
В 10 мегаполисах цена жилья с учетом ипотеки превысила ₽1 млн за кв. м
Итоговая стоимость квадратного метра новостройки с учетом всех выплат по рыночной ипотеке
Крупнейшие российские банки продолжают снижать ставки по вкладам
Marcs: крупные российские банки продолжают снижать ставки по вкладам
Раскрыто, на какой доход с банковского вклада начислят налог
Эксперт Диашов: если доход по вкладам выше 210 тысяч, нужно уплатить налог
Набиуллина предупредила о грядущих «неспокойных временах»
Набиуллина: впереди Россию ждут очень неспокойные времена
Страховщики запустили полисы с доходностью от курса биткоина
Минимальный взнос составит от 1,5 до 3 млн рублей
Набиуллина назвала слабый курс нацвалюты признаком уязвимой экономики
РФ не стремится к этому, отметила глава ЦБ