Пожалуйста, отключите AdBlock!
AdBlock мешает корректной работе нашего сайта.
Выключите его для полного доступа ко всем материалам РБК
Лента новостей
В Буденновске неизвестный облил трех девушек кислотой 21:17, Общество «Инвитро» сообщила об увеличении сроков выдачи анализов из-за кибератаки 21:10, Бизнес Промсвязьбанк задумался о выпуске «вечных» евробондов 21:04, Финансы Путин обвинил иностранные спецслужбы в поддержке терроризма 21:02, Политика Португалия — Чили 21:00, Спорт Лавров не исключил встречи Путина и Трампа в Гамбурге 20:46, Политика «Медиалогия» представила рейтинг самых читаемых каналов в Telegram 20:42, Технологии и медиа В сенате США оценили влияние Москвы на выборы в Европе 20:42, Политика Fitch и Moody's отреагировали на суд «Роснефти» с АФК «Система» 20:36, Финансы Экс-президент Приднестровья сбежал на лодке в Молдавию 20:20, Политика Структура АФК «Система» потребовала 155 млн руб. от своего экс-президента 20:20, Бизнес Театры России присоединились к акции поддержки экс-главы «Гоголь-центра» 19:55, Общество Золотую медаль школьницы из Адыгеи признали заслуженной 19:45, Общество «Зенит» анонсировал уход шести-семи футболистов 19:42, Спорт «Стройтранснефтегаз» сократит до 50% сотрудников московского офиса 19:40, Бизнес Аэропорт Иркутска поделят между потенциальными конкурентами 19:39, Бизнес NBC узнал о допросах сотрудников «Лаборатории Касперского» в США 19:22, Технологии и медиа «Русофобия» на марше: как российские власти увлеклись фейковым понятием 19:14, Мнение Клименко назвал «издевательством» позицию основателя Telegram 19:06, Технологии и медиа Трамп посетит празднование взятия Бастилии в Париже 19:04, Политика РФПЛ вынесла три летних матча «Спартака» на будни 18:57, Спорт Вопрос о вмешательстве иностранных СМИ обсуждался в Госдуме с главой ФСБ 18:45, Политика Роскомнадзор согласился внести Telegram в реестр 18:39, Технологии и медиа МИД пообещал «солидно» проработанный ответ на высылку дипломатов из США 18:29, Политика «Ингосстрах» решил уйти с украинского рынка 18:23, Бизнес Суд арестовал имущество главы финского Uber на €245 тыс. 18:21, Бизнес КНДР вынесла заочный смертный приговор экс-президенту Южной Кореи 18:21, Политика Глава Роскомнадзора пообещал «без бюрократии» отнестись к письму Дурова 18:01, Технологии и медиа
Банки признали возможность кражи денег с помощью Siri
Финансы, 19 окт, 2016 18:06
0
Банки признали возможность кражи денег с помощью Siri
Голосовой ассистент Siri, установленный на гаджетах компании Apple, может быть использован для мошенничества, признали банкиры. С его помощью можно вывести средства со счета даже при заблокированном экране
Фото: Reuters/Pixstream

Программа Siri, помогающая управлять некоторыми моделями iPhone с помощью голоса, может стать помощником и для мошенников. Она позволяет отправлять сообщения с заблокированного экрана и делать переводы, если банк пользователя может проводить их с помощью СМС-сообщений по номеру телефона. Об этом рассказал РБК сотрудник Сбербанка, в котором возможность таких переводов доступна с помощью СМС в мобильном банке.

В том случае если телефон оказался в руках мошенника, ему достаточно ввести определенную последовательность команд, чтобы перевести деньги со счета, привязанного к номеру телефона. Корреспондент РБК протестировал такую возможность и убедился, что она работает. «Siri, отправь сообщение на номер девять, ноль, ноль» — так начинается последовательность голосовых команд. 900 — это номер мобильного банка Сбербанка. В сообщении надо продиктовать помощнику слово «перевод» и номер телефона получателя — также по одной цифре.

Сбербанк требует подтверждения перевода также с помощью СМС-сообщения. После того как банк прислал код, надо попросить Siri прочитать последнее сообщение и отправить пять цифр кода на номер 900 также с помощью Siri. Перевод прошел, вся операция заняла около двух минут.

Для проведения злоумышленником подобной операции должно совпасть несколько факторов: он должен получить доступ к чужому устройству Apple с установленным голосовым помощником Siri, на котором есть возможность перевода по номеру телефона с помощью СМС-сообщений. ​В Сбербанке не комментируют информацию о возможных случаях хищения денег их клиентов с помощью Siri, хотя о проблеме знают. «Мы работаем с Apple, чтобы на уровне операционной системы не было возможности манипуляции функциональностью устройства Siri и функциональностью СМС-банков», — заявили РБК в пресс-службе Сбербанка.

В банке также добавили, что отслеживают все операции клиентов, а подозрительные — автоматически блокируются. «Система безопасности останавливает транзакции, если они аномальные, например по времени или сумме, или если платеж происходит на номер из черного списка», — сообщил официальный представитель кредитной организации.

Сбербанк не единственная кредитная организация, предоставляющая клиентам возможность перевести деньги или произвести оплату других услуг с помощью СМС. Аналогичную услугу в своем мобильном банке предлагает, в частности, Альфа-банк в СМС-банке «Альфа-Чек». В кредитной организации говорят, что не знают о случаях, когда из-за подобного мошенничества пострадали бы их клиенты. «Вряд ли они будут носить массовый характер, все-таки не так уж часто мы оставляем свой телефон без присмотра», — сказал начальник управления мониторинга электронного бизнеса Альфа-банка Владимир Бакулин.

В то же время он признал, что счета клиентов могут быть уязвимы для мошенников при отправке голосовых команд. «Мы в банке протестировали возможность диалога с Siri. По нашему заключению, единственным ограничением для мошенников может служить сложность СМС, которую необходимо отправить», — говорит Бакулин. Отправить деньги на чужой сотовый телефон у него не получилось, хотя он признает, что короткие команды помощник выполняет.

Чтобы снизить риск мошенничества, в Альфа-банке ввели ограничение по максимальной сумме перевода с помощью СМС в размере 500 руб. в день. «Чтобы сделать перевод через СМС на большую сумму, клиент должен создать шаблон в интернет-банке, но все равно лимит переводов — не более 25 тыс. руб.», — рассказал представитель Альфа-банка. Он также добавил, что при любой нестандартной транзакции подключается служба мониторинга, которая звонит клиенту.

В Сбербанке, согласно действующим тарифам, действует ограничение в 8 тыс. руб. при переводе на счета банка, при оплате своего мобильного клиент не сможет потратить более 3 тыс. руб. в день, а перевести на сторонний телефон можно не более 1,5 тыс. руб. в сутки. Сервисы по моментальному переводу средств с помощью СМС-сообщений также есть в Газпромбанке, «АК БАРС» (они на запрос РБК не ответили).

В Тинькофф Банке есть функция обслуживания клиентов через СМС, но эти услуги носят лишь уведомительно-консультационный характер. Например, с помощью СМС можно запросить баланс карты или заблокировать ее, а также получить информацию о счетах и вкладах клиента. Вместе с тем управлять своими счетами «Тинькофф» предлагает с помощью бота в Telegram. «Мессенджеры с Siri напрямую не взаимодействуют, т.е. отдать команду в мессенджере, не разблокировав устройство, через Siri не получится», — уверяет представитель Тинькофф Банка Дарья Ермолина.

Кроме того, уточнили в Тинькофф Банке, в ряде случаев банк может потребовать верификации клиента. «Мы можем направить СМС-код, попросить авторизоваться в личном кабинете или вообще позвонить для верификации голоса», — рассказала Ермолина. По ее словам, в банке есть система распознавания клиентов по голосовым слепкам, в которой учитываются несколько десятков параметров голоса, которые у каждого человека уникальны.

Несмотря на меры безопасности, которые предпринимают банки, наиболее эффективной защитой от мошенников является запрет на операции в мобильном банке через голосовых помощников. «Сейчас запрет на такого рода манипуляции выставляется на уровне настроек операционной системы: в настройках Siri есть возможность запретить доступ к Siri, когда экран заблокирован», — советует Сбербанк. То же советует и Альфа-банк. В случае потери контроля над телефоном банкиры рекомендуют незамедлительно обратиться к оператору сотовой связи для блокировки номера телефона, а также в банк — для блокировки платежных инструментов.

«В случае хищения или утраты iPhone его необходимо в любом случае принудительно блокировать через сайт, это отрежет пути доступа к Siri. А самая главная рекомендация — определиться, так ли вам необходимо это приложение, насколько часто вы пользуетесь его услугами. Если ответ «не очень», то лучше не использовать его», — говорит руководитель направления «аудит и консалтинг» Group-IB Андрей Брызгин.

Он предупреждает о возможном всплеске случаев мошенничества с использованием Siri. В последней версии операционной системы Apple дала голосовому помощнику доступ к мобильным приложениям, поясняет он, и разработчики мобильного банкинга наверняка будут пользоваться этой возможностью и официально разрешат через голосового помощника отправлять платежи.

Как ранее писал РБК, число преступлений, связанных с хищением средств с помощью мобильных устройств, в последние годы растет рекордными темпами. По подсчетам Group-IB, общий объем средств, похищенных хакерами у российских банков с июля 2015 по июль 2016 года, составил 5,5 млрд руб. Банкиры также отмечают рост числа киберпреступлений и увеличение затрат на информационную безопасность. Как ранее говорил зампред Сбербанка Станислав Кузнецов, число инцидентов в области информационной безопасности за последние два года выросло в 12 раз. В 2015 году крупнейший банк страны потратил на информационную безопасность около 1,5 млрд руб., или 0,7% от чистой прибыли по МСФО.