Пожалуйста, отключите AdBlock!
AdBlock мешает корректной работе нашего сайта.
Выключите его для полного доступа ко всем материалам РБК
Лента новостей
Полиция Испании рассказала о 12 членах ячейки террористов в Каталонии 17:58, Общество Глава МИД Австрии обвинил Эрдогана во вмешательстве в дела других стран 17:21, Общество Александр Кокорин забил в пятом матче подряд в чемпионате России 17:01, Спорт Автомобиль совершил наезд на пешеходов на юго-востоке Бельгии 16:57, Общество В аварии на Калужском шоссе в Москве погиб человек 16:38, Общество В Дамаске при обстреле выставки с участием России погибли четыре человека 16:17, Общество В Сети появилось видео убийства устроившего резню в Сургуте 16:02, Общество В Москве отравились 36 туристов из Италии 15:42, Общество В администрации президента опровергли уход Тулеева с поста губернатора 15:20, Политика Чемпионат России по футболу. «Амкар» — «Зенит». Онлайн 15:00, Спорт В Красноярске ввели режим ЧС из-за ливня 14:14, Общество Суд отказал Siemens в аресте поставленных в Крым турбин 14:05, Общество В СК рассказали об убитой в Белгородской области семье предпринимателей 13:48, Общество Легионер «Спартака» сообщил руководству о желании покинуть команду 13:40, Спорт В Грозном отменили турнир студенческой лиги MMA из-за гибели бойцов 13:18, Общество Инициатор переноса столицы из Москвы за Урал предложил провести дебаты 12:41, Политика «Зенит» договорился о трансфере пятого аргентинского футболиста за лето 12:31, Спорт Проверьте ваше везение, предпринимательское чутьё и деловую хватку 12:20, РБК и Билайн Путин и Медведев поздравили Кончаловского с 80-летием 12:07, Политика Названо место погребения экс-главкома ВВС России Петра Дейнекина 11:46, Политика В организации теракта в Барселоне заподозрили имама местной мечети 11:38, Общество Лучшего бомбардира Евро-2016 удалили с поля за оскорбление арбитра 11:31, Спорт Украинские военные опровергли данные о наступлении около Горловки 11:28, Политика На Украине задержали предполагаемых угонщиков машины замглавы Нацполиции 11:08, Общество В Белгородской области открыли дело после убийства семьи предпринимателей 10:35, Общество О трудовых правах должны знать все: работа – это не только обязанности 10:23, Партнерский материал На шахте «Мир» проведут взрывные работы 10:08, Общество В Хабаровске в результате драки погиб чемпион мира по пауэрлифтингу 09:47, Общество
Банки признали возможность кражи денег с помощью Siri
Финансы, 19 окт, 2016 18:06
0
Банки признали возможность кражи денег с помощью Siri
Голосовой ассистент Siri, установленный на гаджетах компании Apple, может быть использован для мошенничества, признали банкиры. С его помощью можно вывести средства со счета даже при заблокированном экране
Фото: Reuters/Pixstream

Программа Siri, помогающая управлять некоторыми моделями iPhone с помощью голоса, может стать помощником и для мошенников. Она позволяет отправлять сообщения с заблокированного экрана и делать переводы, если банк пользователя может проводить их с помощью СМС-сообщений по номеру телефона. Об этом рассказал РБК сотрудник Сбербанка, в котором возможность таких переводов доступна с помощью СМС в мобильном банке.

В том случае если телефон оказался в руках мошенника, ему достаточно ввести определенную последовательность команд, чтобы перевести деньги со счета, привязанного к номеру телефона. Корреспондент РБК протестировал такую возможность и убедился, что она работает. «Siri, отправь сообщение на номер девять, ноль, ноль» — так начинается последовательность голосовых команд. 900 — это номер мобильного банка Сбербанка. В сообщении надо продиктовать помощнику слово «перевод» и номер телефона получателя — также по одной цифре.

Сбербанк требует подтверждения перевода также с помощью СМС-сообщения. После того как банк прислал код, надо попросить Siri прочитать последнее сообщение и отправить пять цифр кода на номер 900 также с помощью Siri. Перевод прошел, вся операция заняла около двух минут.

Для проведения злоумышленником подобной операции должно совпасть несколько факторов: он должен получить доступ к чужому устройству Apple с установленным голосовым помощником Siri, на котором есть возможность перевода по номеру телефона с помощью СМС-сообщений. ​В Сбербанке не комментируют информацию о возможных случаях хищения денег их клиентов с помощью Siri, хотя о проблеме знают. «Мы работаем с Apple, чтобы на уровне операционной системы не было возможности манипуляции функциональностью устройства Siri и функциональностью СМС-банков», — заявили РБК в пресс-службе Сбербанка.

В банке также добавили, что отслеживают все операции клиентов, а подозрительные — автоматически блокируются. «Система безопасности останавливает транзакции, если они аномальные, например по времени или сумме, или если платеж происходит на номер из черного списка», — сообщил официальный представитель кредитной организации.

Сбербанк не единственная кредитная организация, предоставляющая клиентам возможность перевести деньги или произвести оплату других услуг с помощью СМС. Аналогичную услугу в своем мобильном банке предлагает, в частности, Альфа-банк в СМС-банке «Альфа-Чек». В кредитной организации говорят, что не знают о случаях, когда из-за подобного мошенничества пострадали бы их клиенты. «Вряд ли они будут носить массовый характер, все-таки не так уж часто мы оставляем свой телефон без присмотра», — сказал начальник управления мониторинга электронного бизнеса Альфа-банка Владимир Бакулин.

В то же время он признал, что счета клиентов могут быть уязвимы для мошенников при отправке голосовых команд. «Мы в банке протестировали возможность диалога с Siri. По нашему заключению, единственным ограничением для мошенников может служить сложность СМС, которую необходимо отправить», — говорит Бакулин. Отправить деньги на чужой сотовый телефон у него не получилось, хотя он признает, что короткие команды помощник выполняет.

Чтобы снизить риск мошенничества, в Альфа-банке ввели ограничение по максимальной сумме перевода с помощью СМС в размере 500 руб. в день. «Чтобы сделать перевод через СМС на большую сумму, клиент должен создать шаблон в интернет-банке, но все равно лимит переводов — не более 25 тыс. руб.», — рассказал представитель Альфа-банка. Он также добавил, что при любой нестандартной транзакции подключается служба мониторинга, которая звонит клиенту.

В Сбербанке, согласно действующим тарифам, действует ограничение в 8 тыс. руб. при переводе на счета банка, при оплате своего мобильного клиент не сможет потратить более 3 тыс. руб. в день, а перевести на сторонний телефон можно не более 1,5 тыс. руб. в сутки. Сервисы по моментальному переводу средств с помощью СМС-сообщений также есть в Газпромбанке, «АК БАРС» (они на запрос РБК не ответили).

В Тинькофф Банке есть функция обслуживания клиентов через СМС, но эти услуги носят лишь уведомительно-консультационный характер. Например, с помощью СМС можно запросить баланс карты или заблокировать ее, а также получить информацию о счетах и вкладах клиента. Вместе с тем управлять своими счетами «Тинькофф» предлагает с помощью бота в Telegram. «Мессенджеры с Siri напрямую не взаимодействуют, т.е. отдать команду в мессенджере, не разблокировав устройство, через Siri не получится», — уверяет представитель Тинькофф Банка Дарья Ермолина.

Кроме того, уточнили в Тинькофф Банке, в ряде случаев банк может потребовать верификации клиента. «Мы можем направить СМС-код, попросить авторизоваться в личном кабинете или вообще позвонить для верификации голоса», — рассказала Ермолина. По ее словам, в банке есть система распознавания клиентов по голосовым слепкам, в которой учитываются несколько десятков параметров голоса, которые у каждого человека уникальны.

Несмотря на меры безопасности, которые предпринимают банки, наиболее эффективной защитой от мошенников является запрет на операции в мобильном банке через голосовых помощников. «Сейчас запрет на такого рода манипуляции выставляется на уровне настроек операционной системы: в настройках Siri есть возможность запретить доступ к Siri, когда экран заблокирован», — советует Сбербанк. То же советует и Альфа-банк. В случае потери контроля над телефоном банкиры рекомендуют незамедлительно обратиться к оператору сотовой связи для блокировки номера телефона, а также в банк — для блокировки платежных инструментов.

«В случае хищения или утраты iPhone его необходимо в любом случае принудительно блокировать через сайт, это отрежет пути доступа к Siri. А самая главная рекомендация — определиться, так ли вам необходимо это приложение, насколько часто вы пользуетесь его услугами. Если ответ «не очень», то лучше не использовать его», — говорит руководитель направления «аудит и консалтинг» Group-IB Андрей Брызгин.

Он предупреждает о возможном всплеске случаев мошенничества с использованием Siri. В последней версии операционной системы Apple дала голосовому помощнику доступ к мобильным приложениям, поясняет он, и разработчики мобильного банкинга наверняка будут пользоваться этой возможностью и официально разрешат через голосового помощника отправлять платежи.

Как ранее писал РБК, число преступлений, связанных с хищением средств с помощью мобильных устройств, в последние годы растет рекордными темпами. По подсчетам Group-IB, общий объем средств, похищенных хакерами у российских банков с июля 2015 по июль 2016 года, составил 5,5 млрд руб. Банкиры также отмечают рост числа киберпреступлений и увеличение затрат на информационную безопасность. Как ранее говорил зампред Сбербанка Станислав Кузнецов, число инцидентов в области информационной безопасности за последние два года выросло в 12 раз. В 2015 году крупнейший банк страны потратил на информационную безопасность около 1,5 млрд руб., или 0,7% от чистой прибыли по МСФО.