Голосовой помощник Сбербанка поможет мошенникам?

Информацию о состоянии счетов клиентов можно получить не только на «черном рынке». Голосовой помощник Сбербанка может позволить мошенникам узнать баланс карты и последние транзакции клиента — достаточно позвонить в банк от имени потенциального клиента-мишени.

Данную лазейку обнаружил сотрудник оператора связи. По его словам, последние истории про взломы могут объясняться в том числе уязвимостями дистанционных сервисов Сбербанка, — пишет Банкир.

Мошенники нередко пользуются «облачными АТС», чтобы подменять номер телефона. Мошенник с помощью специальных программ может совершить звонок на один из номеров Сбербанка — он пойдет с телефона злоумышленника, но в кредитную организацию поступит как будто бы с номера жертвы.

В этом случае включается голосовой помощник Сбербанка. Сервис называет человека по имени и отчеству и обещает выполнить команды после авторизации. Для этого бывает достаточно назвать последние цифры карты клиента.

Заранее «пробив» окончание номера карты, злоумышленник с помощью голосового помощника может узнать баланс карты и последние пять операций по счету человека. Наличие подобного багажа существенно упрощает «обработку» жертвы методами социальной инженерии.

Последние схемы мошенничества, описанные в СМИ, как раз предполагали, что злоумышленник для убедительности рассказывает клиенту о состоянии счета и трансакциях. Во многих случаях человек сам по незнанию переводил деньги мошенникам или компрометировал карту.

Идентификация в сервисах дистанционного банковского обслуживания (ДБО) по последним цифрам карты категорически небезопасна, считает руководитель группы анализа защищенности Solar JSOC «Ростелеком-Солар» Александр Колесов. По его словам, у мошенников есть несколько путей достать такую информацию.

«Это неприемлемая ситуация, поскольку данные об операциях, равно как и данные о балансе счета, — это информация сугубо конфиденциальная. Фактически любой человек, имеющий доступ к минимальному и достаточно простому инструментарию для подделки номеров мобильных телефонов, имеет возможность следить за финансовыми операциями тех, чьи номера телефонов ему известны», — отмечает технический директор Qrator Labs Артем Гавриченков.

Согласно исследованию Positive Technologies, в I квартале 2019 года 54% кибератак совершались с целью получения информации. Платежные карты продолжают сохранять ценность для хакеров и мошенников — на них приходится 16% всех украденных данных.

Риск использования банковской информации для мошенничества считается высоким. По данным самого Сбербанка, социальная инженерия остается основным методом хищения денег у частных лиц.

В 2018 году в России 80% атак на клиентов банков совершались с ее помощью. В 79% случаев жертвы поддаются на уловки и переводят деньги злоумышленникам, говорится в обзоре Treat Zone'19.

Торговать золотом, серебром, медью, платиной и палладием на выгодных условиях круче всего с глобальным брокером FxPro.

Аналитика FxTeam в Telegram – читайте новости и аналитику первыми!