Интернет-банкинг

Голосовой помощник Сбербанка может подсказывать мошенникам?

Сервис в некоторых случаях позволяет узнать баланс карты и последние трансакции жертвы.
3,4 тыс. 69
Голосовой помощник Сбербанка может подсказывать мошенникам?

Информацию о состоянии счетов клиентов можно получить не только от инсайдера-банкира, который продает их на «черном рынке». «Пробить» данные можно с помощью полезных сервисов, вроде голосового помощника Сбербанка.

В редакцию Банки.ру обратился сотрудник оператора связи и рассказал, что обнаружил лазейку, которой могут пользоваться злоумышленники. Узнать баланс карты и последние операции жертвы можно с помощью голосового помощника Сбербанка — достаточно позвонить в банк от имени потенциального клиента-мишени.

«Пробиваем» данные без «слива»

«Здравствуйте, Ольга Александровна! Это Сбербанк, я ваш голосовой помощник. Я могу решить большинство ваших задач. Просто скажите, чем я могу вам помочь», — говорит услужливая виртуальная сотрудница Сбербанка. Я не Ольга Александровна, но, произнеся слово «баланс», узнаю, что на карте хранится больше 40 тыс. рублей, а после требования «последние операции» — список из последних трансакций своей родственницы. Хотя звонок шел не с телефона клиентки, суммы называются с точностью до копейки и совпадают со свежей выпиской по счету. На этом демонстрационная часть эксперимента заканчивается, и мой собеседник переходит к объяснениям, как такое возможно.

«Мы расследовали подозрительный инцидент на нашей сети и наткнулись на то, что человек хотел через нас это делать, пресекли, а потом додумали», — рассказывает сотрудник компании, которая оказывает услуги телефонии. По его словам, мошенники нередко пользуются «облачными АТС», чтобы подменять номер телефона и звонить своим жертвам, выдавая себя за партнеров по бизнесу, поставщиков или сотрудников банков. Обзвон банковских клиентов особенно популярен — в январе «Коммерсант» сообщал о всплеске случаев такого мошенничества. Чаще всего жертвами становились клиенты Сбербанка, который лидирует в России по количеству эмитированных карт. Последние истории про взломы могут объясняться в том числе уязвимостями дистанционных сервисов Сбербанка, утверждает собеседник Банки.ру.

Мошенник с помощью специальных программ может совершить звонок на один из номеров Сбербанка — он пойдет с телефона злоумышленника, но в кредитную организацию поступит как будто бы с номера жертвы. В этом случае включается голосовой помощник Сбербанка. Сервис называет человека по имени и отчеству и обещает выполнить команды после авторизации. Для этого бывает достаточно назвать последние цифры карты клиента. Заранее «пробив» окончание номера карты, злоумышленник с помощью голосового помощника может узнать баланс карты и последние пять операций по счету человека. Наличие подобного багажа существенно упрощает «обработку» жертвы методами социальной инженерии. Последние схемы мошенничества, описанные в СМИ, как раз предполагали, что злоумышленник для убедительности рассказывает клиенту о состоянии счета и трансакциях. Во многих случаях человек сам по незнанию переводил деньги мошенникам или компрометировал карту.

IT-специалист показал, как работает схема, на примере трех карт Сбербанка, принадлежащих разным клиентам. Только в одном случае голосовой помощник для авторизации попросил назвать не последние цифры карты, а код клиента — это была моментальная карта, выпущенная накануне.

Уязвимость или нет?

В Сбербанке отказались комментировать ситуацию. Там также не ответили, какая доля держателей карт может идентифицироваться в голосовом помощнике только по личному коду. Таким образом, нельзя точно оценить, сколько клиентов кредитной организации можно считать более уязвимыми перед подобным мошенничеством. Зампред Сбербанка Станислав Кузнецов заявил, что специалисты кредитной организации знают о том, что идентификация по последним цифрам карты может нести риски для пользователей сервиса. «Мы внимательно следим за подобного рода рисками и видим, что здесь есть определенного рода риски не то что утечки информации, а получение сведений об остатках карты. В настоящее время идет глубокий анализ, как ужесточить эту ситуацию для того, чтобы иметь большую защищенность на стороне клиента», — сказал Кузнецов на пресс-конференции во время Международного конгресса по кибербезопасности, организованном Сбербанком.

Идентификация в сервисах ДБО по последним цифрам карты категорически небезопасна, считает руководитель группы анализа защищенности Solar JSOC «Ростелеком-Солар» Александр Колесов. По его словам, у мошенников есть несколько путей достать такую информацию. «Самый простой способ — получить слип (документ об оплате покупки банковской картой), где обычно указано и имя владельца, и последние цифры карты. Люди редко отдают себе отчет в том, что эти данные могут представлять ценность, и не проявляют никакой осторожности при обращении с ними. Последние цифры карты также можно узнать, сделав потенциальной жертве копеечный перевод по номеру телефона. Наконец, данные карт и привязанные к ним номера телефонов массово и довольно недорого продаются на специализированных форумах в Даркнете», — перечисляет эксперт. Он, впрочем, считает, что в случае с голосовым помощником Сбербанка происходит не идентификация для сервиса ДБО, а идентификация для звонка в техподдержку.

Так или иначе, схема позволяет узнать чувствительную информацию, и это опасно, говорит технический директор Qrator Labs Артем Гавриченков. «Это неприемлемая ситуация, поскольку данные об операциях, равно как и данные о балансе счета, — это информация сугубо конфиденциальная. Фактически любой человек, имеющий доступ к минимальному и достаточно простому инструментарию для подделки номеров мобильных телефонов, имеет возможность следить за финансовыми операциями тех, чьи номера телефонов ему известны. Если там не поставлено ограничений по частоте звонков, конечно», — отмечает эксперт. Он подчеркивает, что такой способ сбора данных о клиентах может применяться широко — все процессы из этой цепочки легко автоматизируются.

Цифры не в пользу клиентов

Согласно исследованию Positive Technologies, в I квартале 2019 года 54% кибератак совершались с целью получения информации. Платежные карты продолжают сохранять ценность для хакеров и мошенников — на них приходится 16% всех украденных данных. Более ранние исследования IT-компании показали серьезные уязвимости финансовых приложений и сервисов. Так, в 2017 году 56% финансовых приложений содержали уязвимости высокого уровня риска. Например, позволяли получать доступ к сведениям, составляющим банковскую тайну клиентов. Тогда же в 48% мобильных банков была выявлена хотя бы одна критически опасная уязвимость. Более половины финансовых клиентских приложений (65%) имели недостатки, связанные с небезопасным хранением данных или недостаточной защитой процесса аутентификации пользователя. Уровень защищенности сервисов растет, но еще не может считаться достаточно высоким, признают IT-специалисты. Это связано как с изобретательностью мошенников, так и с уступками, на которые вынуждены идти банки.

«Банки активно пытаются идти навстречу пользователям, внедрять новые вещи, иногда, к сожалению, они не согласовываются с отделом безопасности. Иногда это происходит намеренно: условно говоря, отдел развития продуктов и дополнительных сервисов, получив отказ от отдела безопасности три раза, на четвертый раз постарается их обойти, — объясняет Гавриченков. — Мы не говорим, что это произошло в конкретном случае, но сплошь и рядом бывают такие ситуации, когда при внедрении инновационных технологий, таких как распознавание речи, активно „срезаются углы“, в том числе страдает безопасность. У ряда организаций внедрение таких инноваций просто стоит у менеджеров в KPI».

Риск использования банковской информации для мошенничества считается высоким. По данным самого Сбербанка, социальная инженерия остается основным методом хищения денег у частных лиц. В 2018 году в России 80% атак на клиентов банков совершались с ее помощью. В 79% случаев жертвы поддаются на уловки и переводят деньги злоумышленникам, говорится в обзоре Treat Zone'19.

Правовые риски

Мошенничество с помощью методов социальной инженерии практически не оставляет клиентам шансов вернуть деньги на свой банковский счет. Если человек сам совершает операцию или разглашает данные, которые позволяют ее провести, карта считается скомпрометированной. В этом случае кредитные организации не несут ответственности за пропажу средств — подобный пункт считается стандартным для банковских договоров.

Согласно пользовательскому соглашению, приложение «Сбербанк Онлайн» предоставляется клиентам as is («как есть»). Банк не несет ответственности практически за любые убытки, полученные при использовании сервиса, «даже если банку было известно о возможности такого ущерба».

Это распространенная формулировка, отмечает партнер юридического бюро «Замоскворечье» Дмитрий Шевченко. «Уведомляя о том, что голосовой помощник является лишь техническим средством, не обладающим сознанием и психикой, банк фактически заявляет о том, что понятие „вины“ к ситуациям использования этого помощника юридически не применимо», — поясняет юрист. Он сомневается, что в таких спорах пострадавший клиент сможет доказать, что получил ущерб именно из-за уязвимостей голосового помощника или мобильного.

Против взлома только плохие приемы

«Если в банке применяется биометрическая идентификация по голосу, то такая атака будет бессмысленной», — говорит Колесов, отвечая на вопрос о том, могут ли мошенники пользоваться уязвимостями голосового помощника Сбербанка. Пока этот сервис не предусматривает распознавания клиента по голосу. Сбербанк работает в другом направлении, пояснил зампред кредитной организации Станислав Кузнецов.

«Одновременно с другими методами, дополнительными, на стороне распознавания голоса, изучения попыток со стороны мошенников, мы дополнительный комплекс мер приняли, чтобы хеджировать этот риск на уровне наших систем, когда мы понимаем, что с большой вероятностью мошенник запрашивает эти данные», — сказал топ-менеджер. Он уточнил, что речь идет о сборе образцов голосов злоумышленников.

Такой подход может использоваться как один из инструментов борьбы с рецидивистами, соглашается Артем Гавриченков. Эксперт, впрочем, сомневается, что это легко сделать. «Я не уверен, что это настолько простая история с точки зрения законодательства, поскольку на это тоже распространяются нормы о хранении и обработке персональных данных. Закона, который бы позволял собирать биометрическую информацию о злоумышленниках без их ведома и передавать их коммерческим банкам, я не припомню», — говорит технический директор Qrator Labs.

Обратный механизм защиты — сравнивать голос клиента с ранее сданным образцом — тоже не безупречен. Есть риск, что под видом телефонного опроса злоумышленник попросит человека озвучить нужный набор фраз и цифр и уже потом использует отпечаток голоса.

Пока что лучшее, что тут придумано с точки зрения безопасности, — это кодовое слово, считает Гавриченков. Но главный недостаток этого подхода — риск, что клиент просто забудет код. Варианты с СМС-подтверждением или уточнением других данных специалисты по информационной безопасности тоже не считают идеальными. «Тут вообще хороших решений нет. Есть плохие и «так себе», — резюмирует один из собеседников Банки.ру.

Комментарии

3
  • Зеленая долина

    Месяц назад была история: звонит "служба безопасности", грит, с вашего счета будут перечисляться деньги Зайцеву во Владивосток, согласны?Я в шоке, потом опомнилась бросила трубку. Звоню по вопросу мошенников в сберыч, а там это чудо-голосовой помощник пыталось мне оказать услугу, не понимало, и так вот 5 раз. Плюнула, написала в онлайн, а на следующий день почистила максимально карту.

  • Elv

    Пока читала статью, звонок. Включается запись с до боли знакомыми словами: "ваша карта заблокирована, сейчас вам ответит первый освободившийся оператор, не кладите трубку..."

    Не дождетесь! Блин, что у них там, в местах не столь отдаленных, машинок швейных на всех не хватает, что ли? Хоть пользу Родине принесли бы!

  • vladisobolev

    давайте я сообщу последние четыре цифры своей карты Сбера, оставлю на ней пять тысяч, заберите, попробуйте.

    Ни одна махинация без деятельного участия жертвы не возможна

⚡️Итоги дня: Ozon изменил расчет сбора, Дурова призвали внимательнее следить за Telegram, Камчатку трясет

Подготовили обзор главных событий дня. Все самое интересное, что писали и обсуждали в сети, в одной подборке.

Курсы повышения
квалификации

18
Официальное удостоверение с занесением в госреестр Рособрнадзора

Селлеры нарастили продажи на Ozon в 2,5 раза

Заметнее всего нарастили обороты предприниматели Дальневосточного федерального округа, которые торгуют на маркетплейсе Ozon. Они стали продавать почти в 5 раз больше товаров.

Как обезопасить массовые выплаты внештатникам

Компании, которые сотрудничают с большим числом внештатников, проводят массовые выплаты со своего счета. Такие платежи могут нести риски с точки зрения ИФНС и банков. Рассказываем, в чем причины и как обезопасить переводы.

Как обезопасить массовые выплаты внештатникам
Лучшие спикеры, новый каждый день
Бесплатно с Взносы на травматизм

Подтверждение ОКВЭД в 2024 году: кто сдает, сроки подачи, образец

Работодатели обязаны уплачивать страховые взносы за своих сотрудников. Тарифы по взносам от несчастных случаев на производстве и профзаболеваний различаются в зависимости от класса профриска и составляют от 0,2% до 8,5%.

Подтверждение ОКВЭД в 2024 году: кто сдает, сроки подачи, образец
ВЭД

Центробанк смягчил валютный контроль по внешнеторговым контрактам

Участники внешней торговли могут не сдавать в банки документы по сделкам с иностранными партнерами, если объем операций не превышает 1 млн рублей.

Что изменится в заполнении баланса по новому ФСБУ 4/2023: обзор поправок от Минфина

Недавно утвердили новый ФСБУ 4/2023 «Бухгалтерская отчетность». Меняют бланки бухотчетов и правила их заполнения.

Опытом делятся эксперты-практики, без воды

Торгово-промышленная палата хочет создать единую базу со всеми видами поддержки бизнеса

Чтобы предприниматели получали меньше отказов в финансировании, ТПП создаст единую базу, где будут перечислены доступные и актуальные меры поддержки. Там же будут публиковать критерии отбора и сколько средств осталось в бюджете на финансирование бизнеса.

✅ Будут изменения по имущественным налогам: обзор от ФНС. Эксперт: вектор цифровизации — правильный

В НК внесут поправки, направленные на повышение эффективности налогообложения имущества.

4
266
НДФЛ

Как считать НДФЛ с продажи подаренной недвижимости

При получении недвижимости по договору дарения надо заплатить НДФЛ. Потом при продаже этой недвижимости тоже заплатить НДФЛ.

Модульбанк удвоил вознаграждение для партнеров

До конца марта Модульбанк платит двойное партнерское вознаграждение за каждую подключенную облачную кассу от Модулькассы.

Ozon изменил принцип расчета сервисного сбора с ПВЗ

Теперь дорогие товары, которые выдает ПВЗ, будут гораздо меньше влиять на оборот и размер сервисного сбора.

38

Приказ Минтруда от 1 марта 2024 года: рассказываем о новых рисках при работе с самозанятыми и способах их избежать

С 1 марта контроль за сделками между бизнесом и самозанятыми стал строже — теперь ФНС не только анализирует формат сотрудничества, но и передает полученные сведения в межведомственные комиссии и органы Роструда. Особое внимание уделят компаниям, которые массово привлекают внештатный персонал. В этой статье разбираемся с новыми требованиями и объясняем, как нивелировать возможные риски.

Приказ Минтруда от 1 марта 2024 года: рассказываем о новых рисках при работе с самозанятыми и способах их избежать
Миникурсы, текстовые и видеоинструкции для бухгалтеров
Отпуска

Сотрудник вправе взять накопленный за прошлые годы дополнительный отпуск

Дополнительные отпуска за прошлые годы не сгорают. Сотрудник, у которого накопились дни, может уйти в дополнительный отпуск и взять сразу все дни.

95
Общество

Какой дом выбрать: панельный, кирпичный или монолитный

При выборе недвижимости чаще всего смотрят на планировку квартир и район застройки. Однако соотношение цена–качество напрямую зависит и от вида строительства. Разберемся, на что стоит обратить внимание.

Иллюстрация: m2.ru
88
3-НДФЛ

Если ошиблись в 3-НДФЛ, сдайте уточненку

Бывают случаи, когда человек сдал декларацию 3-НДФЛ с ошибкой, в результате которой неправомерно претендует на возврат или, наоборот, начисляет себе налог к уплате.

ООО «КСК АУДИТ» включено в реестр аудиторских компаний

ООО «КСК АУДИТ» — в реестре компаний, оказывающих аудиторские услуги общественно значимым организациям (ОЗО).

Пятое Правило Волшебника. Хроники перехода с 7-ки на 8-ку

Учитывай то, что люди делают, а не только то, что говорят, ибо деяниями выявляется ложь.

Иллюстрация: создано с помощью ИИ OpenAI © Вера Ревина/Клерк.ру

Банковские гарантии: как отразить в налоговом и бухгалтерском учете

Обеспечение исполнения обязательств — частое условие получения займов, поставки товаров (работ, услуг) и участия в госзакупках, когда банк гарантирует исполнение обязательств одной стороной сделки перед другой. За свои услуги банк взимает плату, отражение в учете которой зависит от предмета обеспеченной сделки.

Банковские гарантии: как отразить в налоговом и бухгалтерском учете
38
Банки

9 тысяч клиентов банка «Киви» получили страховое возмещение от Агентства по страхованию вкладов

Около 20 000 вкладчиков банка «Киви» должны получить свои средства после отзыва лицензии у кредитной организации. АСВ выплатила уже 85% страховой ответственности.

Интересные материалы

Иностранные компании потеряли больше 107 млрд долларов от ухода с российского рынка

Предприятия, которые перестали работать в России, несут убытки от списания активов и недополучают доходы.

37