Мошенники научились красть деньги через чат-боты банков

01.09.2021 17:25

Мошенники научились красть деньги через чат-боты банков. Об этом предупреждают в компании Awillix. Специалисты обнаружили уязвимости, которые позволяют узнать номер и срок действия карт, а также баланс счета и номер телефона клиента. Удается даже обойти механизм подтверждения операции — в переписке с чат-ботом приходил код.

Самые популярные сценарии обмана — изменение функционала чат-бота для сбора информации о человеке, который его использует, рассылка вредоносного программного обеспечения от имени кредитной организации, подмена робота на мошенника во время общения, создание поддельных чат-ботов.

"Пока не ясно, насколько новый вид мошенничества будет использоваться при массовых атаках", — отметил эксперт по информационной безопасности Александр Баулин.

"Все-таки чат-боты — достаточно новое программное обеспечение. Возможно, при его разработке производители учли не все возможные варианты, какое-то сочетание действие позволяет преступнику узнать больше, чем это возможно. Далеко не всегда те баги, уязвимости в системах, которые обнаруживают специалисты, преступники могут применять, потому что им важно не украсть миллионы с банков, как это обычно фильмах бывает, все-таки обычно преступления нацелены на то, что средства, достаточно небольшие, крадутся у миллионов жертв. Механика современных механизмов чаще всего нацелена на массовые атаки. Пока по описанию совершенно неясно, насколько реально это применять при массовых атаках", — пояснил Александр Баулин.

Уточняется, что аккаунты в мессенджере и на основном сайте банка не связаны между собой. То есть, если мошенник получит доступ к аккаунту пользователя в чат-боте, это не означает, что он получит доступ к основному личному кабинету.

"В любом случае, чтобы защитить свой банковский счет, всегда лучше использовать двухфакторную авторизацию", — советует специалист по искусственному интеллекту Роман Душкин.

"Просто логин и пароль, конечно, неправильно. Двухфакторная авторизация — это авторизация при помощи двух устройств, не связанных друг с другом. Например, это ввести пароль на компьютере, на ноутбуке, а потом получить код на телефон, который с этим ноутбуком никак не связан. Мошенникам намного сложнее получить доступ одновременно и к ноутбуку пользователя, и к его телефону. У многих пользователей до сих пор не включен этот режим. Мошенник этим пользуется, потому что украсть логин и пароль очень просто. Со стороны банка, повторю, там вообще ничего не нужно дополнительно, нужно просто уведомить пользователя, что теперь их аккаунт не работает с однофакторной авторизацией, только с двухфакторной", — отметил Роман Душкин. С мошенничеством при помощи чат-бота столкнулась и слушательница радио "Москва FM" Александра. "Молодой человек представился работником "Альфа-банка", чтобы деньги не достались мошенникам, надо деактивировать карту и перенаправил меня якобы сотрудницу службы безопасности, которая меня из официального чат-бота "Альфа-банка" перевела в чат-бот, созданный мошенниками. Оттуда меня уже ориентировала, звонила, говорила, что я должна сделать, чтобы спасти свои деньги", — поделилась Александра.

Сейчас чат-боты используют около 10% российских банков. Среди них — ВТБ, "Райффайзенбанк", Home Credit, "ЮниКредит", "Тинькофф". Чат-боты применяются в мессенджерах, мобильном приложении, социальных сетях, на сайте, в контакт-центре. Этот инструмент применяется как информационный сервис, так и для активных платежных операций.