___

Банковские чат-боты в мессенджерах, которые используются для проведения отдельных операций со счетами, могут быть уязвимы для атак злоумышленников. Об этом «Известиям» рассказал директор по информационной безопасности компании Awillix Александр Герасимов . Специалисты компании провели пентесты (проверки безопасности) чат-ботов в двух российских кредитных организациях и обнаружили схожие логические уязвимости. Они позволяют получить номер и срок действия карт, а также узнать баланс счета и мобильный телефон клиента.

«Эта информация поможет в совершении дальнейших атак на пользователей, например, с помощью социальной инженерии. Кроме того, уязвимости позволяют попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции, например, во время перевода денег. В ходе пентестов удавалось зайти в аккаунт тестового клиента и совершить операцию на перевод денег», — сообщил Александр Герасимов .

По его словам, получилось даже обойти механизм подтверждения операции: в переписке с чат-ботом приходил код. При этом аккаунты в мессенджере и на основном сайте банка не связаны между собой. То есть, если злоумышленник получит доступ к аккаунту пользователя в чат-боте, это не означает, что он получит доступ к основному личному кабинету, подчеркнул эксперт.

Чат-боты используют около 10% российских банков. Среди них ― ВТБ , Абсолют Банк , Райффайзенбанк , «Открытие» , Росбанк , «Хоум Кредит» , Юникредит , «Тинькофф» , крымский РНКБ , МТС Банк . Они могут применяться в мессенджерах, мобильном приложении, социальных сетях, на сайте, в контакт-центре.

Подробнее читайте в эксклюзивном материале «Известий»:

Обман по переписке: уязвимости в банковских чат-ботах позволяют красть деньги