В банковских чат-ботах обнаружены позволяющие красть деньги уязвимости

В банковских чат-ботах обнаружены позволяющие красть деньги уязвимости

Банковские чат-боты в мессенджерах, которые используются для проведения отдельных операций со счетами, могут быть уязвимы для атак злоумышленников. Специалисты компании провели пентесты (проверки безопасности) чат-ботов в двух российских кредитных организациях и обнаружили схожие логические уязвимости. Они позволяют получить номер и срок действия карт, а также узнать баланс счета и мобильный телефон клиента.

«Эта информация поможет в совершении дальнейших атак на пользователей, например, с помощью социальной инженерии. Кроме того, уязвимости позволяют попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции, например, во время перевода денег. В ходе пентестов удавалось зайти в аккаунт тестового клиента и совершить операцию на перевод денег», — сообщил Александр Герасимов.

По его словам, получилось даже обойти механизм подтверждения операции: в переписке с чат-ботом приходил код. При этом аккаунты в мессенджере и на основном сайте банка не связаны между собой. То есть, если злоумышленник получит доступ к аккаунту пользователя в чат-боте, это не означает, что он получит доступ к основному личному кабинету, подчеркнул эксперт.

Чат-боты используют около 10% российских банков. Среди них ― ВТБ, Абсолют Банк, Райффайзенбанк, «Открытие», Росбанк, «Хоум Кредит», Юникредит, «Тинькофф», крымский РНКБ, МТС Банк. Они могут применяться в мессенджерах, мобильном приложении, социальных сетях, на сайте, в контакт-центре.

Иллюстрация к статье: Яндекс.Картинки
Самые оперативные новости экономики на нашем Telegram канале

Читайте также

Оставить комментарий

Вы можете использовать HTML тэги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.