Мошенникам легко заполучить персональную информацию.
Банковские чат-боты оказались уязвимы для злоумышленников. Специалисты по информационной безопасности обнаружили данные уязвимости у двух российских кредитных организаций.
Мошенникам не составит труда получить из мессенджера не только номер мобильного, но и данные о сроке и действии карты, а также её балансе.
Эта информация поможет в совершении дальнейших атак на пользователей, например, с помощью социальной инженерии. Кроме того, уязвимости позволяют попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции, например, во время перевода денег. В ходе пентестов удавалось зайти в аккаунт тестового клиента и совершить операцию на перевод денег, — пояснил «Известиям» директор по информационной безопасности Awillix Александр Герасимов.
Специалисты выявили механизм обхода подтверждения операции. В переписке с чат-ботом клиенту приходил код. При этом аккаунты в мессенджере и на сайте банка оказались не связаны между собой. Таким образом, злоумышленник легко получает доступ к личному кабинету.
Функцию «Чат-бота» используют порядка 10% крупнейших российских банков. Их применяют в мессенджерах, мобильных приложениях, соцсетях, сайтах и контакт-центрах.