hakikov

Categories:

Мошенники научились узнавать остатки на счетах в банках Как уязвимость голосового робота позволяет

Мошенники научились через голосового помощника банка узнавать номера карт и остатки по счетам клиентов. Об этом «Известиям» рассказали эксперты по кибербезопасности. Уязвимость подтвердили клиенты Сбербанка, финансовая информация которых таким образом стала известна третьим лицам. С помощью этих данных злоумышленникам легче убедить потенциальную жертву перевести деньги на чужой счет или назвать код из СМС. В прошлом году ЦБ предупреждал банки о рисках несанкционированного доступа к финансовым данным через голосового робота-ассистента в связи с инцидентом, произошедшим в другой крупной кредитной организации. В «Сбере» «Известиям» сообщили, что проводят проверку.

Системный блок: банки запустят технологию по борьбе со звонками мошенниковНасколько она поможет обезопасить клиентов и когда заработает

Голосовой воришка

12 июля клиенту «Сбера» Александру поступил звонок от имени службы безопасности банка: «специалист» сообщил о якобы мошенническом переводе и попросил назвать остаток по счету. Александр, помня о том, что на карте у него всего 50 рублей, решил разыграть спектакль и сообщил преступнику, что на счете 350 тыс. Последний, очевидно, заинтересовался крупной добычей, а позже сам стал называть финансовую информацию клиента — в том числе последние цифры всех его карт и остатки по счетам с точностью до копеек.

Александр убежден, что злоумышленник узнавал эту информацию в режиме реального времени. Он сам выяснил, что если звонить в Сбербанк, подменив номер телефона на тот, что привязан к одной из карт кредитной организации, то голосовой помощник по запросу собеседника назовет последние четыре цифры номера карты и сообщит остаток по ней. Если к телефону привязано несколько карт, то можно назвать любые цифры: тогда ассистент заявит, что такого «пластика» нет, и назовет все имеющиеся карты и средства на них.

Корреспондент «Известий» позвонил по номеру 900 в «Сбер» с телефона, к которому подвязана единственная карта банка: по его просьбе робот-помощник действительно назвал последние цифры «пластика» и остаток по счету, не спрашивая дополнительных подтверждений.

Сбербанк проводит проверку представленной информации, сообщили «Известиям» в кредитной организации, добавив, что в настоящий момент указанной проблемы не обнаружено.

Осенью 2020 года подразделение ЦБ по кибербезопасности (ФинЦЕРТ) направило в кредитные организации письмо, в котором сообщалось об использовании мошенниками интерактивного голосового помощника (IVR) для получения информации об остатках на счетах в одном из банков. Звонящему достаточно было использовать подмену номера, а также назвать последние четыре цифры карты, писал тогда РБК. В Банке России сообщали, что уязвимость появилась из-за несоответствия рекомендациям регулятора: если клиентов по телефону обслуживает робот, необходимо использовать дополнительный параметр аутентификации звонящего, например секретный код. «Известия» направили запрос в ЦБ.

Источник, знакомый с ситуацией, сообщил, что речь в письме ЦБ шла не о «Сбере», а о другом крупном розничном банке. «Известия» тогда писали, что в начале сентября 2020-го клиентам Райффайзенбанка массово поступали звонки от мошенников, которые знали актуальные остатки по их счетам.

Время денег: чаще всего мошенники звонят россиянам днем во вторникВ этот период граждане обычно погружены в дела и хотят быстрее разобраться с посторонними вопросами

Непустой звон

В Росбанке «Известиям» сообщили: чтобы узнать остаток по счету у голосового помощника, клиенту нужно позвонить в кредитную организацию со своего номера телефона, пройти по звуковому меню, ввести часть номера карты. В крымском РНКБ робот-ассистент предоставляет информацию о количестве денег на счёте, если гражданин звонит с доверенного номера телефона, указанного им в банке, при условии ввода части реквизитов карты. Для того чтобы узнать остаток в «Тинькофф», звонящему нужно пройти идентификацию вне зависимости от номера, с которого поступил вызов, сообщили в банке, добавив, что факторы проверки могут варьироваться в зависимости от ситуации: сверка по голосу или по персональным данным, а также — с помощью дополнительных вопросов от оператора. В УБРиР заявили, что вовсе не позволяют клиентам узнать баланс через робота-ассистента.

Аутентификация с помощью телефонного номера, привязанного к карте — базовый способ, который используют многие банки, знает технический директор компании RuSIEM Антон Фишман. Он напомнил, что в соответствии с рекомендациями ЦБ для аутентификации по телефону следует использовать два фактора, однако не все учли предложения регулятора. Эксперт подчеркнул, что уязвимость Сбербанка намного опаснее, чем та, о которой ЦБ предупреждал в прошлом году: тогда нужно было знать последние четыре цифры карты, то есть преступникам нужна была база данных клиентов. А сейчас вообще ничего, кроме номера телефона гражданина, знать не нужно.

Универсальность этой схемы состоит в том, что для ее использования необязательно держать клиента на телефоне. Можно заранее позвонить с подмененного номера, узнать остатки по счетам карт и составить необходимый скрипт. Зачастую чем больше сумма на счёте, тем больше тревожность владельца средств. Именно поэтому состоятельные люди — как правило, образованные и сознательные — всё равно становятся жертвами социальной инженерии, — добавил Антон Фишман.

В последнее время перед мошенниками встала задача «скоринга жертв» в процессе беседы, так как появилось большое число «пранкеров», не обладающих значительными остатками на счетах или картами вообще, но изображающих испуганную жертву и затягивающих разговор с мошенниками ради собственного развлечения, согласен основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. Он пояснил: когда преступнику удается войти в доверие, он может уговорить жертву назвать ему SMS-код подтверждения трансакции и смены пароля в личном кабинете или даже самостоятельно перевести все средства на некий «безопасный счет».

По словам эксперта, возможности голосового помощника обычно ограничены по сравнению с личным кабинетом банка, поэтому вряд ли мошенники смогут с помощью уязвимостей перевести деньги. Однако у многих банков существует возможность блокировки карт через IVR, которая может использоваться злоумышленниками ради мести несговорчивым жертвам.

Buy for 10 tokens
Buy promo for minimal price.

Error

Anonymous comments are disabled in this journal

default userpic

Your reply will be screened