Обман по переписке: уязвимости в банковских чат-ботах позволяют красть деньги
Специалисты обнаружили в банковских чат-ботах уязвимости, которые могут позволить мошенникам переводить деньги без ведома клиентов. Такими выводами по итогам проведенных исследований с «Известиями» поделились в компании Awillix. Наличие рисков подтвердили в Positive Technologies. В крупнейших банках «Известиям» сообщили, что ограничивают функциональность чат-ботов в мессенджерах. Там добавили: популярность этого канала взаимодействия с клиентом активно растет.
Обман по переписке
Банковские чат-боты в мессенджерах, которые используются для проведения отдельных операций со счетами, могут быть уязвимы для атак злоумышленников. Об этом «Известиям» рассказал директор по информационной безопасности компании Awillix Александр Герасимов. Специалисты компании провели пентесты (проверки безопасности) чат-ботов в двух российских кредитных организациях и обнаружили схожие логические уязвимости. Они позволяют получить номер и срок действия карт, а также узнать баланс счета и мобильный телефон клиента.
― Эта информация поможет в совершении дальнейших атак на пользователей, например, с помощью социальной инженерии. Кроме того, уязвимости позволяют попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции, например, во время перевода денег. В ходе пентестов удавалось зайти в аккаунт тестового клиента и совершить операцию на перевод денег, — сообщил Александр Герасимов.
По его словам, получилось даже обойти механизм подтверждения операции: в переписке с чат-ботом приходил код. При этом аккаунты в мессенджере и на основном сайте банка не связаны между собой. То есть, если злоумышленник получит доступ к аккаунту пользователя в чат-боте, это не означает, что он получит доступ к основному личному кабинету, подчеркнул эксперт.
Чат-боты используют около 10% российских банков: они могут применяться в мессенджерах, мобильном приложении, социальных сетях, на сайте, в контакт-центре, отметил генеральный директор группы Т1 Сергей Соловьев. Он подчеркнул, что этот инструмент используют как в качестве информационных сервисов (для сообщения об особенностях продуктов и сервисов, курсах валют, предоставления контактных данных), так и для активных операций (для оформления заявок на банковские продукты, проведения переводов и платежных операций, блокировки карт).
В своих банковских онлайн-приложениях чат-ботов уже запустили ВТБ, Абсолют Банк, Райффайзенбанк, «Открытие», Росбанк, «Хоум Кредит», Юникредит, «Тинькофф», крымский РНКБ, МТС Банк, Почта Банк, сообщили «Известиям» их представители. Однако в других каналах этот функционал есть не у всех кредитных организаций. Чат-ботов в крупнейших мессенджерах реализовали ВТБ и Райффайзенбанк, «Абсолют» и Росбанк представили технологию только в WhatsApp. «Юникредит» коммуницирует через Viber, но только с малым и средним бизнесом (МСБ), а ПСБ ― с этим же сегментом через Telegram. Планируют запустить робота-помощника в чате УБРиР, «Зенит» и «Ренессанс Кредит».
В Райффайзенбанке с помощью этой технологии обрабатывают уже порядка 33% обращений клиентов, в «Юникредите» ― 12%, в Росбанке ― 10%. Чат-бот Абсолют Банка решает около 20 тыс. вопросов в месяц, РНКБ ― 36 тыс., «Хоум кредита» ― 150–200 тыс., ВТБ ― 500 тыс., подсчитали в кредитных организациях. В ВТБ и в «Тинькофф» за последний год популярность технологии выросла вдвое.
Сказано ― переведено
Для обеспечения безопасности Райффайзенбанк позволяет чат-боту присылать персональную информацию только в тех каналах, где пользователь уже прошел аутентификацию как клиент банка ― в приложении кредитной организации или в личном кабинете на сайте, пояснил его представитель. Общение ведется в защищенном канале с соблюдением всех мер информационной безопасности, подчеркнул он. Такой же политики придерживаются в «Открытии», «Абсолюте», Росбанке, «Юникредите» и ВТБ.
В ПСБ сообщили, что чат-бот для представителей МСБ умеет отвечать на простые вопросы, высылать выписку, выставлять счет и отправлять платеж после авторизации. С апреля 2021 года клиенты совершают платежи, запрашивают остатки по счетам и используют чат банка для полноценной работы в бизнесе, добавили в кредитной организации. «Известия» направили запрос в ЦБ о требованиях к безопасности этого канала взаимодействия с клиентами.
Чат-боты могут быть подвержены уязвимостям различного характера, которые зависят от их функциональности, подтвердил руководитель группы исследований безопасности банковских систем Positive Technologies Максим Костиков. Например, проблемы с безопасностью могут позволить получить данные клиентов, попасть в их личные кабинеты в чат-боте, узнать баланс карты, уточнил эксперт. Он отметил, что это могут быть логические ошибки, допустим, перевод денег от другого пользователя, округление суммы в большую сторону при переводе валюты, обход лимитов для карточки. А также получение полного контроля над чат-ботом или доступа к базе данных с информацией о пользователях, загрузка зловредных файлы для рассылок.
― Если рассматривать случаи с небезопасными чат-ботами, то, к примеру, злоумышленник может получить доступ к данным клиента или попытаться инициировать перевод денежных средств. Но в случае перевода он также должен будет ввести второй фактор подтверждения операций (обычно это код из SMS или push-уведомления), если эта опция включена в настройках личного кабинета приложения и поддерживается чат-ботом. Если злоумышленник полностью контролирует чат-бот, то его возможности для мошенничества неограниченны, ― разъяснил Максим Костиков.
По его словам, самые популярные сценарии обмана ― изменение функционала чат-бота для сбора информации о человеке, который его использует, рассылка вредоносного программного обеспечения от имени кредитной организации, подмена робота на мошенника во время общения, создание поддельных чат-ботов банков.
Если человек пользуется банковским чат-ботом, который умеет делать денежные переводы в мессенджере, для защиты средств можно настроить двухфакторную аутентификацию для входа в приложение, подчеркнули в «Инфосистемах Джет», добавив, что также опасность существует в тех случаях, когда злоумышленник получил прямой доступ к устройству жертвы физически или в результате вредоносной атаки.
