Банковские чат-боты в мессенджерах, которые используются для проведения отдельных операций со счетами, могут быть уязвимы для атак злоумышленников. Специалисты компании провели пентесты (проверки безопасности) чат-ботов в двух российских кредитных организациях и обнаружили схожие логические уязвимости. Они позволяют получить номер и срок действия карт, а также узнать баланс счета и мобильный телефон клиента.

«Эта информация поможет в совершении дальнейших атак на пользователей, например, с помощью социальной инженерии. Кроме того, уязвимости позволяют попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции, например, во время перевода денег. В ходе пентестов удавалось зайти в аккаунт тестового клиента и совершить операцию на перевод денег», — сообщил Александр Герасимов.

По его словам, получилось даже обойти механизм подтверждения операции: в переписке с чат-ботом приходил код. При этом аккаунты в мессенджере и на основном сайте банка не связаны между собой. То есть, если злоумышленник получит доступ к аккаунту пользователя в чат-боте, это не означает, что он получит доступ к основному личному кабинету, подчеркнул эксперт.

Чат-боты используют около 10% российских банков. Среди них ― ВТБ, Абсолют Банк, Райффайзенбанк, «Открытие», Росбанк, «Хоум Кредит», Юникредит, «Тинькофф», крымский РНКБ, МТС Банк. Они могут применяться в мессенджерах, мобильном приложении, социальных сетях, на сайте, в контакт-центре.