Голосовой помощник Сбербанка может подсказывать мошенникам баланс карты и последние трансакции

Чтобы получить сведения о клиенте банка потребуется 1 звонок. Новые возможности подкидывает мошенникам сам банк. Не нужно покупать у недобросовестных работников отделений базы с информацией. Чтобы узнать нужную информацию о клиенте Сбербанка, достаточно поговорить с голосовым помощником.
Голосовой помощник Сбербанка может подсказывать мошенникам баланс

Удобный на первый взгляд сервис предполагает шанс для мошенников узнать информацию о балансе карточки и последних операциях по счету. Все, что нужно, это представиться клиентом и набрать номер горячей линии.

Ловкость технологий и никакого мошенничества

У голосового помощника продумано все, любой запрос клиента может быть предоставлен без личного обращения к представителю банка. Правдиво и точно программа расскажет о последних списаниях и поступлениях, посчитав, что для идентификации достаточно знать номер телефона звонящего.

Изъян системы автоматического обслуживания клиента лежит на поверхности – мошенники давно и успешно используют облачные АТС, заменяющие действительные номера. Абонент не подозревает о мошенничестве, когда видит знакомый номер телефона банка, выпустившего карточку. Ничто не мешает представиться бизнес-партнером или поставщиком.

Поскольку клиенту привыкли к повышенному интересу банков к своему номеру телефона, предложения финансового характера от имени банковской структуры не вызывают подозрения. После массированной январской атаки число жертв мошенников среди клиентов Сбербанка оказалось лидирующим. У многих есть карта для получения пособия или зарплаты, пенсионеры получают отчисления от ПФР и т.д.

Уязвимость программы дала мошенникам новую возможность для дистанционных краж с номеров карт.

Как работает схема?

Как работает схема?

Чтобы узнать в банке информацию о клиенте, применяется простая схема:

  1. Через спецпрограмму преступник звонит в службу поддержки, подменяя номер на телефон клиента-жертвы.
  2. На другом конце линии включается сервис голосовой помощи.
  3. Не подозревая об обмане, голосовой помощник называет клиента по имени отчеству и предлагает команды, доступные дистанционно.
  4. Для авторизации достаточно назвать последние 4 знака в номере карточки.
  5. Теперь можно спрашивать любую необходимую информацию – о списаниях, сумме на остатке.

Полученной информации оказывается достаточно, чтобы при следующем звонке жертве представиться уже сотрудником банка и рассказать о последних транзакциях клиента. Тот факт, что человек знает информацию по карте, вызывает доверие. Мошенникам остается лишь «дожать» поверившего клиента, пользуясь приемами из области социальной инженерии.

Чтобы скомпрометировать карту или перевести деньги на свои счета, мошенникам нужна пара минут.

По карточкам мгновенного выпуска пройти автоматическую идентификацию чуть сложнее – голосовой помощник просит сообщить код клиента. Для остальных вариантов пластика схема взаимодействия упрощена. Банк попросит назвать последние цифры из номера карточки, а найти их можно в любом чеке, который забывают забрать при обслуживании в банкомате.

Опасен ли голосовой помощник?

Опасен ли голосовой помощник?

Представители Сберегательного банка не спешат делиться выводами о доле потенциальных жертв среди владельцев сберовских карточек. По утверждению топ-менеджеров кредитного учреждения, о проблеме упрощенной идентификации с доступом к личной информации в банке знают, однако передачу сведений о балансе карточного счета вряд ли стоит расценивать как утечку информации.

С другой стороны, представители Сбербанка анонсировали озабоченность ситуацией, заявляя перед СМИ намерение ужесточить порядок получения доступа к сведениям о клиенте. Итогом усилий станет повышение степени защиты пользователей банковских услуг.

Представитель «Ростелеком-Солар» Александр Колесов считает, что применяемая Сбербанком схема идентификации по номеру карту явно небезопасна. Любой начинающий мошенник получает необходимые данные, подойдя к банкомату, в котором только что обслуживался человек. Полученный слип содержит информацию об имени плательщика и последние цифры с карточки.

Второй по популярности вариант – перевод минимальной суммы через дистанционный сервис банка по номеру телефона. Для подтверждения платежа банк вышлет смс с указанием необходимых реквизитов.

Тем, кто хочет воровать в промышленных масштабах, доступны услуги форумов Даркнет с покупкой базы о номерах клиентов и их именах.

Некоторые эксперты считают преждевременными опасения в отношении работы с голосовым помощником, поскольку идентификация не позволяет совершать транзакции через звонок. Но вероятность считывания сведений о располагаемых суммах через простейшие операции однозначно вызывает тревогу.

Получается, что голосовой помощник Сбербанка упрощает задачу мошенников по поиску актуальных сведений о жертве. Преступник, освоивший правила работы с облачной АТС, способен узнать все, что потребуется для анализа и выбора жертв. Убедить человека в том, что на другом конце провода сотрудник банка, становится еще легче.

Тревожная статистикаТревожная статистика

В первом квартале 2019 больше половины атак кибер-мошенников связаны с запросом информации. Такой статистикой поделились в Positive Technologies. Пока на картах будут храниться деньги, мошенники продолжат охотиться за сведениями о клиентах банков. Около 16% краж данных связывают с карточным мошенничеством.

Проблема уязвимости дистанционных сервисов беспокоит давно. Исследования показали, что приложения банков нуждаются в дополнительной защите 56% из них были признаны уязвимыми еще пару лет назад. Программы не защищали сведения, которые относят к банковской тайне 48% мобильных приложений содержали минимум 1 лазейку для мошенников. 65% приложений содержали критичные недостатки, при которых пользоваться сервисом было небезопасно (недостаточные требования по аутентификации и низкий уровень защиты данных).

Хотя ситуация послужила сигналом к исправлению и принятию дополнительных мер, мошенники изобретают новые варианты, как обойти требования безопасности.

Банк, который идет навстречу клиентам, желающим получать простые и удобные услуги, оказывает «медвежью услугу», поскольку новые сервисы редко выдерживают критику со стороны отделов безопасности. Конфронтация отделов развития и безопасности непродуктивна и приводит к принятию стратегически неверных решений. В обход мнения отдела безопасности, банк запускает новый сервис, а затем вся банковская структура ставит свою репутацию под удар.

Пока идут разбирательства, пока банк определяется с позицией в отношении голосовой «помощи», у людей продолжают красть деньги, шлифуя навыки социальной инженерии.

Кто виноват и что делать?

Кто виноват и что делать?

Если в транзакции принимал участие сам клиент, вернуть средства, украденные мошенниками с использованием приемов социнженерии, невозможно. Человек сам передал сведения, поддавшись на провокации преступников. Единственное, что остается жертве, это заблокировать скомпрометированную карту, организовав ее перевыпуск.

Ни Сбербанк, ни любая другая финансовая структура, не возьмет на себя ответственность за действия излишне доверчивого человека. Такой пункт обязательно включат в договор обслуживания при выпуске новой карточки.

Этой позиции придерживается эмитент, когда к нему обращается жертва дистанционного сервиса Сбербанк Онлайн. Эмитент предупреждает клиента о недопустимости передачи любой информации посторонним, даже если он представится работником банка. Если человек излишне доверчив и внушаем, то проблемы нужно решать с отношением самого клиента к безопасности.

Привлечь к ответственности голосовой помощник точно не удастся, ведь юридически не он убедил человека отправить деньги мошенникам. Его роль в обработке мошенником жертвы опосредована и юридически недоказуема.

Поможет ли биометрия?

Поможет ли биометрия?

Распознавание человека по 4 цифрам номера карты признано небезопасным. В связи с этим возникла новая идея научить голосовой помощник определять звонящего через биометрическую идентификацию.

Сервис Сбербанка пока неспособен распознавать голос клиента, и дальнейшие мероприятия в этом направлении руководство банка считает преждевременным. Более оправданны усилия по хеджированию рисков в рамках внутрибанковских систем, когда программа имеет возможность усомниться в личности звонящего через определенный комплекс проверки.

По словам представителя банка, составляется база образцов голосов, отсекая звонки «рецидивистов», т.е. преступников, которых уже уличили в мошенничестве. Технически реализовать такую защиту возможно, однако эффективность меры сомнительна. Включаются юридические механизмы, относимые к закону о хранении персональной информации. Поскольку программы по использованию отпечатка голоса уже в разработке, мошенники также могу использовать это против клиентов, что делает внедрение биометрической защиты бесполезной.

Пока представители банковской сферы решают вопрос повышения защиты от мошенничества, клиентам остается сохранять бдительность и помнить о простых правилах работы с дистанционными средствами обслуживания. Никогда и ни при каких обстоятельствах не передавать по телефону данные о себе, своей карте, паролях. Даже если на мобильном высвечивается номер банка, а звонящий владеет самыми актуальными данными о человеке.

Подписывайтесь на наш Дзен-канал: Подпишитесь на каналФинансы - кредиты
1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...
Автор статьи
Максим Погорелов
Работал 7 лет в банке. Имею два высших образования ФИНЭК (Санкт-Петербургский государственный университет экономики и финансов) и СПбПУ (Санкт-Петербургский политехнический университет Петра Великого).
Написано статей
245
Читайте также
Adblock
detector