В соцсетях бота Сбербанка обвинили в помощи мошенникам. Пользователи обсуждают уязвимость голосового ассистента: он выдает имя и отчество клиента, разглашает остаток по его счету и данные карты. Предположительно этой информацией могут завладеть злоумышленники при помощи сервиса подмены номера. В самом банке не видят проблемы, но специалисты по кибербезопасности не исключают, что робот действительно способен облегчить работу мошенников. Подробности — у Григория Колганова.
Фото: Дмитрий Духанин, Коммерсантъ / купить фото
Фото: Дмитрий Духанин, Коммерсантъ / купить фото
Пользователи соцсетей пишут, что мошенники звонят в Сбербанк с подменного номера и выясняют информацию о его владельце. Голосовой ассистент приветствует по имени и отчеству. А если произнести случайные цифры на запрос о карте, машина диктует данные реальных карт и даже остаток счета по ним. В Сбербанке заявили, что проводят проверку, но уязвимости пока не обнаружили.
“Ъ FM” провел собственный эксперимент и убедился: кое-какая информация о клиенте действительно доступна:
Может ли информация в виде имени, отчества, последних четырех цифр карты и остатка на счете быть полезной для мошенников? При использовании методов социальной инженерии эти сведения позволят повысить доверие к мнимому сотруднику службы безопасности банка или силовых структур, рассуждает начальник отдела безопасности компании SearchInform Алексей Дрозд:
«Мошенник может вытянуть все те данные, которые бот предоставит реальному владельцу. Каждый человек сам сейчас может проверить, пообщаться с ботом, попробовать походить по вот этому голосовому меню и понять, что ровно то же самое теоретически может узнать и злоумышленник.
Вся информация, которую удалось добыть, будет использоваться именно для того, чтобы повысить доверие жертвы».
На прошлой неделе зампред правления Сбербанка Станислав Кузнецов называл рост телефонного мошенничества национальным бедствием и говорил, что каждый десятый звонок в России совершают злоумышленники. В самом «Сбере» скопилось без малого 4 млн жалоб от обманутых клиентов. Но получается, что информацию для махинаций можно добыть вполне легальным и простым способом. Неужели банк не видит, что его бот обрабатывает звонок с подменного номера?
Кредитной организации действительно трудно в этом случае установить подлинность запроса, констатирует директор компании «Интеллектуальный резерв» Павел Мясоедов: «Система подмены номеров — это нетрудная история. Она базируется на IP-телефонии. То, что банковская система распознает входящий номер и по нему предполагает, что это звонит их клиент, еще простительно, потому что, скорее всего, она идентифицирует именно тот номер, который в ее сторону был отправлен хостингом».
Решить проблему мог бы оператор связи, продолжает Павел Мясоедов, но ему мешает действующее российское законодательство: «Реальный номер звонящего оператору всегда известен.
Сейчас у них нет мощных инструментов, которые позволили бы на законодательном уровне блокировать весь колл-центр, занимающийся подменой номеров.
По закону оператор, вообще, не имеет права блокировать звонок в сторону абонентов без нашего с вами согласия».
Насколько эффективны штрафы мобильных операторов в борьбе с мошенниками
Подменить телефонный номер несложно. Нужные программы продаются в даркнете всего за пару тысяч рублей в год, и окупятся эти вложения невероятно быстро. По данным МВД, за последние три года телефонные мошенники похитили у россиян 200 млрд руб.