Мошенники научились через голосового помощника банка узнавать номера карт и остатки по счетам клиентов. Об этом «Известиям» рассказали эксперты по кибербезопасности. Уязвимость подтвердили клиенты Сбербанка, финансовая информация которых таким образом стала известна третьим лицам. С помощью этих данных злоумышленникам легче убедить потенциальную жертву перевести деньги на чужой счет или назвать код из СМС. В прошлом году ЦБ предупреждал банки о рисках несанкционированного доступа к финансовым данным через голосового робота-ассистента в связи с инцидентом, произошедшим в другой крупной кредитной организации. В «Сбере» «Известиям» сообщили, что проводят проверку.
Голосовой воришка
12 июля клиенту «Сбера» Александру поступил звонок от имени службы безопасности банка: «специалист» сообщил о якобы мошенническом переводе и попросил назвать остаток по счету. Александр, помня о том, что на карте у него всего 50 рублей, решил разыграть спектакль и сообщил преступнику, что на счете 350 тыс. Последний, очевидно, заинтересовался крупной добычей, а позже сам стал называть финансовую информацию клиента — в том числе последние цифры всех его карт и остатки по счетам с точностью до копеек.
Александр убежден, что злоумышленник узнавал эту информацию в режиме реального времени. Он сам выяснил, что если звонить в Сбербанк, подменив номер телефона на тот, что привязан к одной из карт кредитной организации, то голосовой помощник по запросу собеседника назовет последние четыре цифры номера карты и сообщит остаток по ней. Если к телефону привязано несколько карт, то можно назвать любые цифры: тогда ассистент заявит, что такого «пластика» нет, и назовет все имеющиеся карты и средства на них.
Корреспондент «Известий» позвонил по номеру 900 в «Сбер» с телефона, к которому подвязана единственная карта банка: по его просьбе робот-помощник действительно назвал последние цифры «пластика» и остаток по счету, не спрашивая дополнительных подтверждений.
Сбербанк проводит проверку представленной информации, сообщили «Известиям» в кредитной организации, добавив, что в настоящий момент указанной проблемы не обнаружено.
Осенью 2020 года подразделение ЦБ по кибербезопасности (ФинЦЕРТ) направило в кредитные организации письмо, в котором сообщалось об использовании мошенниками интерактивного голосового помощника (IVR) для получения информации об остатках на счетах в одном из банков. Звонящему достаточно было использовать подмену номера, а также назвать последние четыре цифры карты, писал тогда РБК. В Банке России сообщали, что уязвимость появилась из-за несоответствия рекомендациям регулятора: если клиентов по телефону обслуживает робот, необходимо использовать дополнительный параметр аутентификации звонящего, например секретный код. «Известия» направили запрос в ЦБ.
Источник, знакомый с ситуацией, сообщил, что речь в письме ЦБ шла не о «Сбере», а о другом крупном розничном банке. «Известия» тогда писали, что в начале сентября 2020-го клиентам Райффайзенбанка массово поступали звонки от мошенников, которые знали актуальные остатки по их счетам.
Непустой звон
В Росбанке «Известиям» сообщили: чтобы узнать остаток по счету у голосового помощника, клиенту нужно позвонить в кредитную организацию со своего номера телефона, пройти по звуковому меню, ввести часть номера карты. В крымском РНКБ робот-ассистент предоставляет информацию о количестве денег на счёте, если гражданин звонит с доверенного номера телефона, указанного им в банке, при условии ввода части реквизитов карты. Для того чтобы узнать остаток в «Тинькофф», звонящему нужно пройти идентификацию вне зависимости от номера, с которого поступил вызов, сообщили в банке, добавив, что факторы проверки могут варьироваться в зависимости от ситуации: сверка по голосу или по персональным данным, а также — с помощью дополнительных вопросов от оператора. В УБРиР заявили, что вовсе не позволяют клиентам узнать баланс через робота-ассистента.
Аутентификация с помощью телефонного номера, привязанного к карте — базовый способ, который используют многие банки, знает технический директор компании RuSIEM Антон Фишман. Он напомнил, что в соответствии с рекомендациями ЦБ для аутентификации по телефону следует использовать два фактора, однако не все учли предложения регулятора. Эксперт подчеркнул, что уязвимость Сбербанка намного опаснее, чем та, о которой ЦБ предупреждал в прошлом году: тогда нужно было знать последние четыре цифры карты, то есть преступникам нужна была база данных клиентов. А сейчас вообще ничего, кроме номера телефона гражданина, знать не нужно.
— Универсальность этой схемы состоит в том, что для ее использования необязательно держать клиента на телефоне. Можно заранее позвонить с подмененного номера, узнать остатки по счетам карт и составить необходимый скрипт. Зачастую чем больше сумма на счёте, тем больше тревожность владельца средств. Именно поэтому состоятельные люди — как правило, образованные и сознательные — всё равно становятся жертвами социальной инженерии, — добавил Антон Фишман.
В последнее время перед мошенниками встала задача «скоринга жертв» в процессе беседы, так как появилось большое число «пранкеров», не обладающих значительными остатками на счетах или картами вообще, но изображающих испуганную жертву и затягивающих разговор с мошенниками ради собственного развлечения, согласен основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. Он пояснил: когда преступнику удается войти в доверие, он может уговорить жертву назвать ему SMS-код подтверждения трансакции и смены пароля в личном кабинете или даже самостоятельно перевести все средства на некий «безопасный счет».
По словам эксперта, возможности голосового помощника обычно ограничены по сравнению с личным кабинетом банка, поэтому вряд ли мошенники смогут с помощью уязвимостей перевести деньги. Однако у многих банков существует возможность блокировки карт через IVR, которая может использоваться злоумышленниками ради мести несговорчивым жертвам.