PDA

Просмотр полной версии : Банки признали возможность кражи денег с помощью Siri


РБК
19.10.2016, 18:10
http://pics.v7.top.rbk.ru/v6_top_pics/resized/240x150_crop/media/img/5/56/754768885907565.jpg (http://pics.v7.top.rbk.ru/v6_top_pics/media/img/5/56/754768885907565.jpg) Фото: Reuters/Pixstream


«Голосовой ассистент» Siri, установленный на гаджетах компании Apple, может быть использован для мошенничества, признали банкиры. С его помощью можно вывести средства со счета даже при заблокированном экране

Программа Siri, помогающая управлять некоторыми моделями iPhone с помощью голоса, может стать помощником и для мошенников. С ее помощью, можно отправлять сообщения с заблокированного экрана и делать переводы, если банк пользователя позволяет проводить их с помощью СМС-сообщений по номеру телефона. Об этом рассказал РБК сотрудник Сбербанка, в котором возможность таких переводов доступна с помощью СМС в мобильном банке.

В том случае, если телефон оказался в руках мошенника, ему достаточно ввести определенную последовательность команд, чтобы перевести деньги со счета, привязанного к номеру телефона. Корреспондент РБК протестировал такую возможность и убедился что она работает. «Siri, отправь сообщение на номер девять, ноль, ноль», — так начинается последовательность голосовых команд. 900 — это номер мобильного банка Сбербанка. В сообщении надо продиктовать помощнику слово «Перевод» и номер телефона получателя — также по одной цифре.

Сбербанк требует подтверждение перевода также с помощью СМС сообщения. После того, как банк прислал код, надо попросить Siri прочитать последнее сообщение и отправить четыре цифры кода на номер 900 также с помощью Siri. Перевод прошел, вся операция заняла около двух минут.

Для проведения злоумышленником подобной операции должно совпасть несколько факторов: он должен получить доступ к чужому устройству Apple с установленным голосовым помощником Siri, на котором есть возможность перевода по номеру телефона с помощью СМС-сообщений. ​В Сбербанке не комментируют информацию о возможных случаях хищения денег их клиентов с помощью Siri, хотя о проблеме знают. «Мы работаем с Apple, чтобы на уровне операционной системы не было возможности манипуляции функциональностью устройства Siri и функциональности SMS-банков», — заявили РБК в пресс-службе Сбербанка.

http://pics.v7.top.rbk.ru/v6_top_pics/resized/945xH/media/img/4/98/754768884493984.jpg (http://pics.v7.top.rbk.ru/v6_top_pics/media/img/4/98/754768884493984.jpg)

В банке также добавили, что отслеживают все операции клиентов, а подозрительные — автоматически блокируются. «Система безопасности останавливает транзакции, если они аномальные, например, по времени или сумме, или если платеж происходит на номер из черного списка», — сообщил официальный представитель кредитной организации.

Сбербанк — не единственная кредитная организация, предоставляющая клиентам возможность перевести деньги или произвести оплату других услуг с помощью SMS. Аналогичную услугу в своем мобильном банке предлагает, в частности, Альфа-банк в SMS-Банке «Альфа-Чек». В кредитной организации говорят, что не знают о случаях, когда из-за подобного мошенничества пострадали бы их клиенты. «Вряд ли они будут носить массовый характер, все-таки не так уж часто мы оставляем свой телефон без присмотра», — сказал начальник управления мониторинга электронного бизнеса Альфа-Банка Владимир Бакулин.

В то же время он признал, что счета клиентов могут быть уязвимы для мошенников при отправке голосовых команд. «Мы в банке протестировали возможность диалога с Siri. По нашему заключению, единственным ограничением для мошенников может служить сложность SMS, которую необходимо отправить», — говорит Бакулин. Отправить деньги на чужой сотовый телефон у него не получилось, хотя он признает, что короткие команды помощник выполняет.

Чтобы снизить риск мошенничества, в Альфа-банке ввели ограничение по максимальной сумме перевода с помощью СМС в размере 500 руб. в день. «Чтобы сделать перевод через SMS на большую сумму, клиент должен создать шаблон в интернет-банке, но все равно лимит переводов — не более 25 тыс. рублей», — рассказал представитель «Альфы». Он также добавил, что при любой нестандартной трансакции подключается служба мониторинга, которая звонит клиенту.

В Сбербанке, согласно действующим тарифам, действует ограничение в 8 тыс. руб. при переводе на счета банка, при оплате своего мобильного клиент не сможет потратить более 3 тыс. руб. в день, а перевести на сторонний телефон можно не более 1,5 тыс. рублей в сутки. Сервисы по моментальному переводу средств с помощью SMS сообщений также есть в Газпромбанке, «АК Барсе» (они на запрос РБК не ответили).

В Тинькофф Банке есть функция обслуживания клиентов через SMS, но эти услуги носят лишь уведомительно-консультационный характер. Например, с помощью SMS можно запросить баланс карты или заблокировать ее, а также получить информацию о счетах и вкладах клиента. Вместе с тем управлять своими счетами «Тинькофф» предлагает с помощью бота в Telegram. «Мессенджеры с Siri напрямую не взаимодействуют, т.е. отдать команду в мессенджере, не разблокировав устройство, через Siri не получится», — уверяет представитель Тинькофф Банка Дарья Ермолина.

Кроме того, уточнили в Тинькофф Банке, в ряде случаев банк может потребовать верификации клиента. «Мы можем направить SMS-код, попросить авторизоваться в личном кабинете или вообще позвонить для верификации голоса», — рассказал Ермолина. По ее словам, в банке есть система распознавания клиентов по голосовым слепкам, при котором учитывается несколько десятков параметров голоса, которые у каждого человека уникальны.

Несмотря на меры безопасности, которые предпринимают банки, наиболее эффективной защитой от мошенников является запрет на операции в мобильном банке через голосовых помощников. «Сейчас запрет на такого рода манипуляции выставляется на уровне настроек операционной системы — в настройках Siri есть возможность запретить доступ к Siri, когда экран заблокирован», — советует Сбербанк. То же советует и Альфа-банк. В случае потери контроля над телефоном банкиры рекомендуют незамедлительно обратиться к оператору сотовый связи для блокировки номера телефона, а также в банк — для блокировки платежных инструментов.

«В случае хищения или утраты iPhone его необходимо в любом случае принудительно блокировать через сайт, это отрежет пути доступа к Siri. А самая главная рекомендация — определиться, так ли вам необходимо это приложение, насколько часто вы пользуетесь его услугами. Если ответ «не очень», то лучше не использовать его», — говорит руководитель направления аудит и консалтинг Group-IB Андрей Брызгин.

Он предупреждает о возможном всплеске мошенничеств с использованием Siri. В последней версии операционной системы Apple дала голосовому помощнику доступ к мобильным приложениям, поясняет он, и разработчики мобильного банкинга, наверняка, будут пользоваться этой возможностью и официально разрешат через голосового помощника отправлять платежи.

Как ранее писал (http://www.rbc.ru/technology_and_media/13/10/2016/57fe66599a7947bbe4f65c08) РБК, число преступлений, связанных с хищением средств с помощью мобильных устройств в последние годы растет рекордными темпами. По подсчетам Group-IB, общий объем средств, похищенных хакерами у российских банков с июля 2015 по июль 2016 г составил 5,5 млрд руб. Банкиры также отмечают рост числа киберпреступлений и увеличение затрат на информационную безопасность. Как ранее говорил (http://www.rbc.ru/finances/19/07/2016/578e222d9a794700144a8d80) зампред Сбербанка Станислав Кузнецов, число инцидентов в области информационной безопасности за последние два года выросло в 12 раз. В 2015 году крупнейший банк страны потратил на информационную безопасность около 1,5 млрд руб. или 0,7% от чистой прибыли по МСФО. 

Let's block ads! (https://blockads.fivefilters.org) (Why?) (https://github.com/fivefilters/block-ads/wiki/There-are-no-acceptable-ads)


Источник: rbc.ru (http://www.rbc.ru)