Практика
14 июля 2021, 9:58

Мошенники нашли способ узнавать остатки на счетах в банках

Злоумышленники выявили уязвимость в голосовых роботах-ассистентах для получения доступа к конфиденциальной информации.

Эксперты по кибербезопасности рассказали «Известиям», что мошенники научились через голосового помощника банка узнавать номера карт и остатки по счетам клиентов. С помощью этих данных легче убедить потенциальную жертву перевести деньги на чужой счет или назвать код из sms. Такая проблема, в частности, возникла у клиентов Сбербанка. Осенью 2020 года с аналогичной ситуацией столкнулись клиенты Райффайзенбанка – им массово поступали звонки от мошенников, которые знали актуальные остатки по их счетам.

Издание выяснило, что голосовой помощник Сбербанка без дополнительной аутентификации предоставляет конфиденциальную информацию: остаток на карте и последние четыре цифры номера карты.

В 2020 году подразделение ЦБ по кибербезопасности (ФинЦЕРТ) направило в кредитные организации письмо, в котором сообщалось об использовании мошенниками интерактивного голосового помощника (IVR) для получения информации об остатках на счетах в одном из банков. Звонящему достаточно было использовать подмену номера, а также назвать последние четыре цифры карты. В Банке России сообщали, что уязвимость появилась из-за несоответствия рекомендациям регулятора: если клиентов по телефону обслуживает робот, необходимо использовать дополнительный параметр аутентификации звонящего, например секретный код.

Аутентификация с помощью телефонного номера, привязанного к карте – базовый способ, который используют многие банки, отметил технический директор компании RuSIEM Антон Фишман. Он напомнил, что в соответствии с рекомендациями ЦБ для аутентификации по телефону следует использовать два фактора, но не все учли предложения регулятора. Эксперт подчеркнул, что уязвимость Сбербанка намного опаснее, чем та, о которой ЦБ предупреждал в прошлом году: тогда нужно было знать последние четыре цифры карты, то есть преступникам нужна была база данных клиентов. А сейчас вообще ничего, кроме номера телефона гражданина, знать не нужно.