Эксперты обнаружили уязвимости в банковских чат-ботах
Банковские чат-боты в мессенджерах, которые используются для проведения отдельных операций со счетами, могут быть уязвимы для атак злоумышленников. Об этом "Известиям" рассказал директор по информационной безопасности компании Awillix Александр Герасимов.
Специалисты компании провели пентесты (проверки безопасности) чат-ботов в двух российских кредитных организациях и обнаружили схожие логические уязвимости. Они позволяют получить номер и срок действия карт, а также узнать баланс счета и мобильный телефон клиента.
"Эта информация поможет в совершении дальнейших атак на пользователей, например, с помощью социальной инженерии. Кроме того, уязвимости позволяют попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции, например, во время перевода денег. В ходе пентестов удавалось зайти в аккаунт тестового клиента и совершить операцию на перевод денег", — отметил Александр Герасимов.
По его словам, получилось даже обойти механизм подтверждения операции: в переписке с чат-ботом приходил код. При этом аккаунты в мессенджере и на основном сайте банка не связаны между собой. То есть, если злоумышленник получит доступ к аккаунту пользователя в чат-боте, это не означает, что он получит доступ к основному личному кабинету, подчеркнул эксперт.
Чат-боты используют около 10% российских банков: они могут применяться в мессенджерах, мобильном приложении, социальных сетях, на сайте, в контакт-центре, отметил генеральный директор группы Т1 Сергей Соловьев.
Он подчеркнул, что этот инструмент используют как в качестве информационных сервисов (для сообщения об особенностях продуктов и сервисов, курсах валют, предоставления контактных данных), так и для активных операций (для оформления заявок на банковские продукты, проведения переводов и платежных операций, блокировки карт).