Банковские чат-боты не защищают от мошенников

Уловки так называемых банковских мошенников в последнее время становятся всё изощрённее. Если большинство из нас уже наслышаны о подозрительных звонках от "операторов" и "служб безопасности", то мало кому придёт в голову, что наши счета могут оказаться под угрозой и при общении в чат-ботах со службами поддержки банков. А между тем, это так.

 

В чём минусы "бюджетных" вариантов?

У многих банков есть свои чат-боты в мобильных приложениях и популярных мессенджерах, таких как Telegram, WhatsApp, VK и других. Как правило, в таком чате клиент может задавать сотрудникам банка вопросы. Есть и другие функции — например, заказать выписку со счёта или заблокировать карту онлайн.

По словам руководителя направления развития голосовых продуктов и интеллектуальных сервисов Юрия Ледакова, обычно через чат-боты нельзя совершать переводы и другие платёжные операции. Но небольшие финансовые организации часто используют эконом-варианты, которые могут обладать различными уязвимостями. Так, они позволяют узнать приватные данные клиента, получить доступ в его личный кабинет, выяснить баланс на счетах.

В свою очередь, руководитель группы исследований безопасности банковских систем Максим Костиков утверждает, что путём взлома чат-бота можно получить полный контроль над приложением, в том числе загрузить туда вредоносное программное обеспечение, которое позволит красть платёжные данные клиентов.

Удобство — не значит безопасность

 

Есть люди, которым по каким-то причинам неудобно проводить платёжные операции самостоятельно через личный кабинет на сайте банка, и они пытаются сделать это через чат-бот. Для этого чаще всего достаточно написать короткий запрос, а потом ввести код подтверждения из полученного сообщения.

"Мошенники могут попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции, — предостерегает руководитель практики аналитических решений для противодействия мошенничеству и финансовым преступлениям Алексей Коняев. — Среди наиболее частых сценариев обмана также встречаются подмена робота на мошенника и создание поддельных чат-ботов".

Разумеется, нам и в голову не придёт, что с нами общается не банк, а аферисты, которые стремятся завладеть нашими денежными средствами.

Не переводите деньги через чат!

 

Пока известны только единичные эпизоды "захвата" чат-ботов мошенниками, и статистики по ним нет. Максим Костиков рассказывает, что риск взлома банковского чата напрямую зависит от предоставляемого приложением функционала, его архитектуры и типа имеющихся в нём уязвимостей.

Чтобы обезопасить себя от таких ситуаций, рекомендуется настроить чат-бот таким образом, чтобы денежный перевод имел двухфакторное подтверждение. Тогда аферисту необходимо будет ввести код из СМС или push-уведомления, а код придёт именно на ваш телефон. Но лучше всего просто не переводить деньги через чат.