Голосовой помощник Сбербанка может подсказывать мошенникам?

Информацию о состоянии счетов клиентов можно получить не только от инсайдера-банкира, который продает их на «черном рынке». «Пробить» данные можно с помощью полезных сервисов, вроде голосового помощника Сбербанка.

В редакцию Банки.ру обратился сотрудник оператора связи и рассказал, что обнаружил лазейку, которой могут пользоваться злоумышленники. Узнать баланс карты и последние операции жертвы можно с помощью голосового помощника Сбербанка — достаточно позвонить в банк от имени потенциального клиента-мишени.

«Пробиваем» данные без «слива»

«Здравствуйте, Ольга Александровна! Это Сбербанк, я ваш голосовой помощник. Я могу решить большинство ваших задач. Просто скажите, чем я могу вам помочь», — говорит услужливая виртуальная сотрудница Сбербанка. Я не Ольга Александровна, но, произнеся слово «баланс», узнаю, что на карте хранится больше 40 тыс. рублей, а после требования «последние операции» — список из последних трансакций своей родственницы. Хотя звонок шел не с телефона клиентки, суммы называются с точностью до копейки и совпадают со свежей выпиской по счету. На этом демонстрационная часть эксперимента заканчивается, и мой собеседник переходит к объяснениям, как такое возможно.

«Мы расследовали подозрительный инцидент на нашей сети и наткнулись на то, что человек хотел через нас это делать, пресекли, а потом додумали», — рассказывает сотрудник компании, которая оказывает услуги телефонии. По его словам, мошенники нередко пользуются «облачными АТС», чтобы подменять номер телефона и звонить своим жертвам, выдавая себя за партнеров по бизнесу, поставщиков или сотрудников банков. Обзвон банковских клиентов особенно популярен — в январе «Коммерсант» сообщал о всплеске случаев такого мошенничества. Чаще всего жертвами становились клиенты Сбербанка, который лидирует в России по количеству эмитированных карт. Последние истории про взломы могут объясняться в том числе уязвимостями дистанционных сервисов Сбербанка, утверждает собеседник Банки.ру.

Мошенник с помощью специальных программ может совершить звонок на один из номеров Сбербанка — он пойдет с телефона злоумышленника, но в кредитную организацию поступит как будто бы с номера жертвы. В этом случае включается голосовой помощник Сбербанка. Сервис называет человека по имени и отчеству и обещает выполнить команды после авторизации. Для этого бывает достаточно назвать последние цифры карты клиента. Заранее «пробив» окончание номера карты, злоумышленник с помощью голосового помощника может узнать баланс карты и последние пять операций по счету человека. Наличие подобного багажа существенно упрощает «обработку» жертвы методами социальной инженерии. Последние схемы мошенничества, описанные в СМИ, как раз предполагали, что злоумышленник для убедительности рассказывает клиенту о состоянии счета и трансакциях. Во многих случаях человек сам по незнанию переводил деньги мошенникам или компрометировал карту.

IT-специалист показал, как работает схема, на примере трех карт Сбербанка, принадлежащих разным клиентам. Только в одном случае голосовой помощник для авторизации попросил назвать не последние цифры карты, а код клиента — это была моментальная карта, выпущенная накануне.

Уязвимость или нет?

В Сбербанке отказались комментировать ситуацию. Там также не ответили, какая доля держателей карт может идентифицироваться в голосовом помощнике только по личному коду. Таким образом, нельзя точно оценить, сколько клиентов кредитной организации можно считать более уязвимыми перед подобным мошенничеством. Зампред Сбербанка Станислав Кузнецов заявил, что специалисты кредитной организации знают о том, что идентификация по последним цифрам карты может нести риски для пользователей сервиса. «Мы внимательно следим за подобного рода рисками и видим, что здесь есть определенного рода риски не то что утечки информации, а получение сведений об остатках карты. В настоящее время идет глубокий анализ, как ужесточить эту ситуацию для того, чтобы иметь большую защищенность на стороне клиента», — сказал Кузнецов на пресс-конференции во время Международного конгресса по кибербезопасности, организованном Сбербанком.

Идентификация в сервисах ДБО по последним цифрам карты категорически небезопасна, считает руководитель группы анализа защищенности Solar JSOC «Ростелеком-Солар» Александр Колесов. По его словам, у мошенников есть несколько путей достать такую информацию. «Самый простой способ — получить слип (документ об оплате покупки банковской картой), где обычно указано и имя владельца, и последние цифры карты. Люди редко отдают себе отчет в том, что эти данные могут представлять ценность, и не проявляют никакой осторожности при обращении с ними. Последние цифры карты также можно узнать, сделав потенциальной жертве копеечный перевод по номеру телефона. Наконец, данные карт и привязанные к ним номера телефонов массово и довольно недорого продаются на специализированных форумах в Даркнете», — перечисляет эксперт. Он, впрочем, считает, что в случае с голосовым помощником Сбербанка происходит не идентификация для сервиса ДБО, а идентификация для звонка в техподдержку.

Так или иначе, схема позволяет узнать чувствительную информацию, и это опасно, говорит технический директор Qrator Labs Артем Гавриченков. «Это неприемлемая ситуация, поскольку данные об операциях, равно как и данные о балансе счета, — это информация сугубо конфиденциальная. Фактически любой человек, имеющий доступ к минимальному и достаточно простому инструментарию для подделки номеров мобильных телефонов, имеет возможность следить за финансовыми операциями тех, чьи номера телефонов ему известны. Если там не поставлено ограничений по частоте звонков, конечно», — отмечает эксперт. Он подчеркивает, что такой способ сбора данных о клиентах может применяться широко — все процессы из этой цепочки легко автоматизируются.

Цифры не в пользу клиентов

Согласно исследованию Positive Technologies, в I квартале 2019 года 54% кибератак совершались с целью получения информации. Платежные карты продолжают сохранять ценность для хакеров и мошенников — на них приходится 16% всех украденных данных. Более ранние исследования IT-компании показали серьезные уязвимости финансовых приложений и сервисов. Так, в 2017 году 56% финансовых приложений содержали уязвимости высокого уровня риска. Например, позволяли получать доступ к сведениям, составляющим банковскую тайну клиентов. Тогда же в 48% мобильных банков была выявлена хотя бы одна критически опасная уязвимость. Более половины финансовых клиентских приложений (65%) имели недостатки, связанные с небезопасным хранением данных или недостаточной защитой процесса аутентификации пользователя. Уровень защищенности сервисов растет, но еще не может считаться достаточно высоким, признают IT-специалисты. Это связано как с изобретательностью мошенников, так и с уступками, на которые вынуждены идти банки.

«Банки активно пытаются идти навстречу пользователям, внедрять новые вещи, иногда, к сожалению, они не согласовываются с отделом безопасности. Иногда это происходит намеренно: условно говоря, отдел развития продуктов и дополнительных сервисов, получив отказ от отдела безопасности три раза, на четвертый раз постарается их обойти, — объясняет Гавриченков. — Мы не говорим, что это произошло в конкретном случае, но сплошь и рядом бывают такие ситуации, когда при внедрении инновационных технологий, таких как распознавание речи, активно „срезаются углы“, в том числе страдает безопасность. У ряда организаций внедрение таких инноваций просто стоит у менеджеров в KPI».

Риск использования банковской информации для мошенничества считается высоким. По данным самого Сбербанка, социальная инженерия остается основным методом хищения денег у частных лиц. В 2018 году в России 80% атак на клиентов банков совершались с ее помощью. В 79% случаев жертвы поддаются на уловки и переводят деньги злоумышленникам, говорится в обзоре Treat Zone'19.

Правовые риски

Мошенничество с помощью методов социальной инженерии практически не оставляет клиентам шансов вернуть деньги на свой банковский счет. Если человек сам совершает операцию или разглашает данные, которые позволяют ее провести, карта считается скомпрометированной. В этом случае кредитные организации не несут ответственности за пропажу средств — подобный пункт считается стандартным для банковских договоров.

Согласно пользовательскому соглашению, приложение «Сбербанк Онлайн» предоставляется клиентам as is («как есть»). Банк не несет ответственности практически за любые убытки, полученные при использовании сервиса, «даже если банку было известно о возможности такого ущерба».

Это распространенная формулировка, отмечает партнер юридического бюро «Замоскворечье» Дмитрий Шевченко. «Уведомляя о том, что голосовой помощник является лишь техническим средством, не обладающим сознанием и психикой, банк фактически заявляет о том, что понятие „вины“ к ситуациям использования этого помощника юридически не применимо», — поясняет юрист. Он сомневается, что в таких спорах пострадавший клиент сможет доказать, что получил ущерб именно из-за уязвимостей голосового помощника или мобильного.

Против взлома только плохие приемы

«Если в банке применяется биометрическая идентификация по голосу, то такая атака будет бессмысленной», — говорит Колесов, отвечая на вопрос о том, могут ли мошенники пользоваться уязвимостями голосового помощника Сбербанка. Пока этот сервис не предусматривает распознавания клиента по голосу. Сбербанк работает в другом направлении, пояснил зампред кредитной организации Станислав Кузнецов.

«Одновременно с другими методами, дополнительными, на стороне распознавания голоса, изучения попыток со стороны мошенников, мы дополнительный комплекс мер приняли, чтобы хеджировать этот риск на уровне наших систем, когда мы понимаем, что с большой вероятностью мошенник запрашивает эти данные», — сказал топ-менеджер. Он уточнил, что речь идет о сборе образцов голосов злоумышленников.

Такой подход может использоваться как один из инструментов борьбы с рецидивистами, соглашается Артем Гавриченков. Эксперт, впрочем, сомневается, что это легко сделать. «Я не уверен, что это настолько простая история с точки зрения законодательства, поскольку на это тоже распространяются нормы о хранении и обработке персональных данных. Закона, который бы позволял собирать биометрическую информацию о злоумышленниках без их ведома и передавать их коммерческим банкам, я не припомню», — говорит технический директор Qrator Labs.

Обратный механизм защиты — сравнивать голос клиента с ранее сданным образцом — тоже не безупречен. Есть риск, что под видом телефонного опроса злоумышленник попросит человека озвучить нужный набор фраз и цифр и уже потом использует отпечаток голоса.

Пока что лучшее, что тут придумано с точки зрения безопасности, — это кодовое слово, считает Гавриченков. Но главный недостаток этого подхода — риск, что клиент просто забудет код. Варианты с СМС-подтверждением или уточнением других данных специалисты по информационной безопасности тоже не считают идеальными. «Тут вообще хороших решений нет. Есть плохие и «так себе», — резюмирует один из собеседников Банки.ру.