Банковские чат-боты в мессенджерах, которые используются для проведения отдельных операций со счетами, могут быть уязвимы для атак злоумышленников. Об этом «Известиям» рассказал директор по информационной безопасности компании Awillix Александр Герасимов.
Специалисты компании провели пентесты (проверки безопасности) чат-ботов в двух российских кредитных организациях и обнаружили схожие логические уязвимости. Они позволяют получить номер и срок действия карт, а также узнать баланс счета и мобильный телефон клиента.
«Эта информация поможет в совершении дальнейших атак на пользователей, например, с помощью социальной инженерии. Кроме того, уязвимости позволяют попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции, например, во время перевода денег. В ходе пентестов удавалось зайти в аккаунт тестового клиента и совершить операцию на перевод денег», — сообщил Александр Герасимов.
По его словам, получилось даже обойти механизм подтверждения операции: в переписке с чат-ботом приходил код. При этом аккаунты в мессенджере и на основном сайте банка не связаны между собой. То есть, если злоумышленник получит доступ к аккаунту пользователя в чат-боте, это не означает, что он получит доступ к основному личному кабинету, подчеркнул эксперт.
Чат-боты используют около 10% российских банков. Среди них ― ВТБ, Абсолют Банк, Райффайзенбанк, «Открытие», Росбанк, «Хоум Кредит», Юникредит, «Тинькофф», крымский РНКБ, МТС Банк. Они могут применяться в мессенджерах, мобильном приложении, социальных сетях, на сайте, в контакт-центре.
Подробнее читайте в эксклюзивном материале «Известий»: Обман по переписке: уязвимости в банковских чат-ботах позволяют красть деньги