Мошенники берут данные о картах из голосового помощника
Как-то по интернету ходила забавная история, как пенсионерка выманила у мошенников деньги. Как это обычно бывает, ей позвонили из «службы безопасности банка», поинтересовались много ли денег на счетах и стали пугать тем, что «личный кабинет пытаются взломать». Женщина не растерялась и сообщила, что у нее на счету несколько миллионов, но разговор сейчас прервется, потому что на счете телефона заканчиваются средства. Мошенники ей перевели 500 рублей в качестве пополнения баланса.
Разговор с мошенниками для некоторых становится развлечением, поводом посостязаться в остроумии. Однако злоумышленники подстроились — они научились узнавать последние цифры карт и сумму на балансе. Удивительно, что информацию им дает сам банк.
О своем опыте общения с «вооруженными информацией» мошенниками рассказал клиент Сбербанка. Мошенники действовали по привычной схеме. Для начала выяснили сумму на счету. Клиент банка назвал 350 000 рублей, хотя на самом деле на счете лежало не больше 50. Дальше началось запугивание тем, что кто-то пытается войти в личный кабинет и сделать перевод на крупную сумму. Веселье закончилось, когда мошенники начали называть последние цифры всех имеющихся карт и суммы остатка по ним с точностью до копеек.
Героя истории это не убедило и он не перевел злоумышленникам средства и не сообщил информацию о картах. Но заставило задуматься — откуда у мошенников столько данных по счетам? Разговор с контакт-центром и обращение не помогли — банк уверял, что не «сливает« информацию и утечек данных нет.
Как выяснилось позже, источником информации стал голосовой помощник Сбербанка. Злоумышленники звонили в кол-центр с подменного номера и запрашивали номера карт с остатками по ним. Если карт несколько, то можно назвать любые цифры. Голосовой помощник сообщит, что такой карты нет и назовет те, что имеются. Никакой дополнительной идентификации не требуется. То есть мошеннику достаточно знать только номер телефона жертвы — остальное расскажет банк.
В прошлом году с такой же проблемой столкнулись клиенты «Райффайзенбанка» — им массово поступали звонки от мошенников, которые знали на удивление много информации по сетам.
Центробанк предупредил кредитные организации об уязвимости голосовых помощников. Банк России сообщил, что проблема возникла из-за невыполнения требований регулятора о дополнительной идентификации клиентов, которые обслуживаются голосовым помощником.
Технический директор компании RuSIEM Антон Фишман говорит, что обнаруженная уязвимость Сбербанка опаснее той, что была у «Райффайзенбанка», поскольку для получения информации вообще не нужны никакие данные, кроме номера телефона. «Известия» цитируют Антона Фишмана»: «Универсальность этой схемы состоит в том, что для ее использования не обязательно держать клиента на телефоне. Можно заранее позвонить с подмененного номера, узнать остатки по счетам карт и составить необходимый скрипт. Зачастую чем больше сумма на счете, тем больше тревожность владельца средств. Именно поэтому состоятельные люди — как правило, образованные и сознательные — все равно становятся жертвами социальной инженерии».
В целом прямой опасности деньгам нет — голосовой помощник не позволит перевести деньги или узнать пин-код. Но мошенники могут использовать личную информацию, чтобы «втереться в доверие» к жертве и выведать нужную информацию, либо побудить самостоятельно перевести деньги.
Кроме этого, голосовой помощник умеет блокировать карты и для этого тоже не нужна дополнительная идентификация. Достаточно позвонить с номера, привязанного к картам. Злоумышленники могут это использовать в качестве мести за резкий разговор или обман.
Отсюда делаем вывод — лучше с мошенниками вообще не разговаривать, не провоцировать их и не шутить. Лучше просто отклонять подозрительные разговоры. Что касается Сбербанка и его уязвимости. История вышла достаточно громкая — ее осветили многие крупные СМИ. Вероятно, банк сделает выводы.