В банковских чат-ботах нашли позволяющие красть деньги несовершенства

Банковские чат-боты в мессенджерах, которые используются для проведения отдельных операций со счетами, оказались уязвимы перед мошенниками, сообщают «Известия».

Как пояснил директор по информационной безопасности компании Awillix Александр Герасимов, лазейки для аферистов нашли в чат-ботах в двух российских кредитных организаций. Они позволяют получить номер и срок действия карт, а также узнать баланс счета и мобильный телефон клиента.

«Эта информация поможет в совершении дальнейших атак на пользователей, например, с помощью социальной инженерии. Кроме того, уязвимости позволяют попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции, например, во время перевода денег. В ходе тестов удавалось зайти в аккаунт тестового клиента и совершить операцию на перевод денег», — рассказал эксперт.

У специалистов получилось даже обойти механизм подтверждения операции: код подтверждения приходил прямо в переписку ботом. Отмечается, что аккаунты в мессенджере и на основном сайте банка не связаны, поэтому такое несовершенство чат-ботов не означает, что злоумышленник получит доступ к основному личному кабинету.

Чат-боты используют около 10% российских банков. Среди них ― ВТБ, Абсолют Банк, Райффайзенбанк, «Открытие», Росбанк, «Хоум Кредит», Юникредит, «Тинькофф», крымский РНКБ, МТС Банк.