Мошенники научились через голосового помощника банка узнавать номера карт и остатки по счетам клиентов, сообщили в понедельник «Известия» (днем ранее об этой уязвимости также сообщил портал Banki.ru).

Как отмечают эксперты по кибербезопасности, с помощью этих данных легче убедить потенциальную жертву перевести деньги на чужой счет или назвать код из sms. Такая проблема, в частности, возникла у клиентов Сбербанка. Осенью 2020 г. с аналогичной ситуацией столкнулись клиенты Райффайзенбанка — им массово поступали звонки от мошенников, которые знали актуальные остатки по их счетам.

Выяснилось, что голосовой помощник Сбербанка без дополнительной аутентификации предоставляет конфиденциальную информацию: остаток на карте и последние четыре цифры номера карты.

В 2020 г. подразделение ЦБ по кибербезопасности (ФинЦЕРТ) направило в кредитные организации письмо, в котором сообщалось об использовании мошенниками интерактивного голосового помощника (IVR) для получения информации об остатках на счетах в одном из банков. Звонящему достаточно было использовать подмену номера, а также назвать последние четыре цифры карты. В Банке России сообщали, что уязвимость появилась из-за несоответствия рекомендациям регулятора: если клиентов по телефону обслуживает робот, необходимо использовать дополнительный параметр аутентификации звонящего, например секретный код.

Аутентификация с помощью телефонного номера, привязанного к карте — базовый способ, который используют многие банки, отметил технический директор компании RuSIEM Антон Фишман. Он напомнил, что в соответствии с рекомендациями ЦБ для аутентификации по телефону следует использовать два фактора, но не все учли предложения регулятора. Эксперт подчеркнул, что уязвимость Сбербанка намного опаснее, чем та, о которой ЦБ предупреждал в прошлом году: тогда нужно было знать последние четыре цифры карты, то есть преступникам нужна была база данных клиентов. А сейчас вообще ничего, кроме номера телефона гражданина, знать не нужно. Таким образом, мошенники могут заранее позвонить с подмененного номера, узнать остатки по счетам карт, и затем использовать эту информацию, чтобы войти в доверие при общении с потенциальной жертвой.

Как отмечается, мошенники вряд ли смогут с помощью этих уязвимостей самостоятельно перевести деньги (возможности голосового помощника обычно ограничены по сравнению с личным кабинетом банка). Однако у многих банков существует возможность блокировки карт через IVR, и злоумышленники могут воспользоваться этим ради мести несговорчивым жертвам.