Если вы пользуетесь услугами одного из банков, уделяющих внимание ИТ-составляющей, вы наверняка общались с ботом, который помогает решить тот или иной вопрос. Так вот, эти чат-боты, по мнению экспертов, содержат уязвимости, позволяющие красть деньги клиента кредитной организации.
О потенциальном векторе атаки рассказал «Известиям» Александр Герасимов, специалист в области информационной безопасности из компании Awillix.
В своих выводах Герасимов опирается на результате тестирований на проникновение (пентестов), которые показали, что боты двух разных российских банков имеют схожие по логике уязвимости.
В частности, чат-боты раскрывают конфиденциальную информацию клиента кредитной организации. Если злоумышленник сможет использовать бреши в атаке, ему могут открыться данные банковской карты (номер и срок действия), остаток средств на счету и телефонный номер пользователя.
Как отметил Герасимов, эти уязвимости не только открывают отличную возможность для подготовки атак с использованием социальной инженерии, но и позволяют попасть в личный кабинет клиента и обойти механизм подтверждения перевода денег.
«Во время наших пентестов экспертам, играющим роль атакующих, удалось проникнуть в аккаунт тестового клиента и перевести деньги», — объясняет специалист Awillix.