14 июля 2021. Мошенники научились через голосового помощника банка узнавать номера карт и остатки по счетам клиентов. С помощью этих данных злоумышленникам легче убедить потенциальную жертву перевести деньги на чужой счет или назвать код из СМС. В прошлом году ЦБ предупреждал банки о рисках несанкционированного доступа к финансовым данным через голосового робота-ассистента в связи с инцидентом, произошедшим в другой крупной кредитной организации. Об этом сообщает ИА IrkutskMedia со ссылкой на газету "Известия" (18+).
12 июля клиенту "Сбера" Александру поступил звонок от имени службы безопасности банка: "специалист" сообщил о якобы мошенническом переводе и попросил назвать остаток по счету. Александр, помня о том, что на карте у него всего 50 рублей, решил разыграть спектакль и сообщил преступнику, что на счете 350 тысяч рублей. Последний, очевидно, заинтересовался крупной добычей, а позже сам стал называть финансовую информацию клиента — в том числе последние цифры всех его карт и остатки по счетам с точностью до копеек.
Александр убежден, что злоумышленник узнавал эту информацию в режиме реального времени. Он сам выяснил, что если звонить в Сбербанк, подменив номер телефона на тот, что привязан к одной из карт кредитной организации, то голосовой помощник по запросу собеседника назовет последние четыре цифры номера карты и сообщит остаток по ней. Если к телефону привязано несколько карт, то можно назвать любые цифры: тогда ассистент заявит, что такого "пластика" нет, и назовет все имеющиеся карты и средства на них.
Корреспондент "Известий" позвонил по номеру 900 в "Сбер" с телефона, к которому подвязана единственная карта банка: по его просьбе робот-помощник действительно назвал последние цифры "пластика" и остаток по счету, не спрашивая дополнительных подтверждений.
Сбербанк проводит проверку представленной информации, сообщили "Известиям" в кредитной организации, добавив, что в настоящий момент указанной проблемы не обнаружено.
Осенью 2020 года подразделение ЦБ по кибербезопасности (ФинЦЕРТ) направило в кредитные организации письмо, в котором сообщалось об использовании мошенниками интерактивного голосового помощника (IVR) для получения информации об остатках на счетах в одном из банков. Звонящему достаточно было использовать подмену номера, а также назвать последние четыре цифры карты, писал тогда РБК. В Банке России сообщали, что уязвимость появилась из-за несоответствия рекомендациям регулятора: если клиентов по телефону обслуживает робот, необходимо использовать дополнительный параметр аутентификации звонящего, например секретный код. "Известия" направили запрос в ЦБ.
Аутентификация с помощью телефонного номера, привязанного к карте — базовый способ, который используют многие банки, знает технический директор компании RuSIEM Антон Фишман. Он напомнил, что в соответствии с рекомендациями ЦБ для аутентификации по телефону следует использовать два фактора, однако не все учли предложения регулятора. Эксперт подчеркнул, что уязвимость Сбербанка намного опаснее, чем та, о которой ЦБ предупреждал в прошлом году: тогда нужно было знать последние четыре цифры карты, то есть преступникам нужна была база данных клиентов. А сейчас вообще ничего, кроме номера телефона гражданина, знать не нужно.
"Универсальность этой схемы состоит в том, что для ее использования необязательно держать клиента на телефоне. Можно заранее позвонить с подмененного номера, узнать остатки по счетам карт и составить необходимый скрипт. Зачастую чем больше сумма на счете, тем больше тревожность владельца средств. Именно поэтому состоятельные люди — как правило, образованные и сознательные — все равно становятся жертвами социальной инженерии", — добавил Антон Фишман.
По словам основателя сервиса разведки утечек данных и мониторинга даркнета DLBI Ашота Оганесяна, возможности голосового помощника обычно ограничены по сравнению с личным кабинетом банка, поэтому вряд ли мошенники смогут с помощью уязвимостей перевести деньги. Однако у многих банков существует возможность блокировки карт через IVR, которая может использоваться злоумышленниками ради мести несговорчивым жертвам.
Напомним, что ранее мошенники похитили свыше 4,5 млн рублей у врача одной из больниц Иркутска. Женщина совершила 169 операций, чтобы на ее имя не "оформили" крупный заем.