Эксперты рассказали, чем опасно использование чат-бота банка

Во многих отечественных банках есть электронные помощники - чат-боты в мессенджерах. Однако они могут быть уязвимы для атак злоумышленников при проведении различных операций, связанных с лицевым счетом.

Руководитель отдела анализа защищенности приложений Positive Technologies Ярослав Бабин считает, что безопасность использования электронного мессенджера зависит от безопасности самой функции. Также эксперт советует не передавать лишнюю конфиденциальную информацию в чат-ботах, так как банку достаточно только последних цифр номера карты.

«Опасность использования чат-ботов напрямую зависит от того, насколько безопасной была разработана эта функциональность банком или вендором, но подтвердить это можно лишь независимым аудитом приложения. В любом случае, передавая конфиденциальную информацию банку по любому из каналов связи (звонок, чат-бот, мессенджер), всегда задумывайтесь о том, какую информацию запрашивает банк и стоит ли ее вам рассказывать. Обычно банку достаточно последних цифр номера карты, не нужны никакие данные из СМС и тем более данные из личного кабинета банка, например остаток по счету», - рассказал Ярослав Бабин «Звезде».

Чат-боты были созданы для ускорения и упрощения работы между банком и пользователем. С помощью бота клиент может быстро получить необходимую информацию, а банки могут отказаться от колл-центров.

Руководитель Департамента аудита и консалтинга Group-IB Андрей Брызгин рассказал «Звезде», что если речь идет о взломе чат-ботов и системы в целом, то это проблема недостаточно проработанной безопасности.

«Я бы не стал демонизировать эту конкретную или любую другую технологию. Если взломать систему удалось, то речь идет сугубо о вопросах безопасности, которым не было уделено достаточное внимание на этапах планирования и разработки системы. И речь не только о чат-боте», - отметил руководитель департамента.

Кроме этого, эксперт считает, что чат-боты лучше оператора колл-центра справятся с работой, поскольку техника следует по определенной схеме.

«Чат-бот - это ведь всего лишь инструмент, заменяющий оператора. Замена более чем обоснованна, так как оператор должен действовать строго по предоставленному скрипту, а машина в следовании четким инструкциям значительно лучше человека. Кроме того, чат-бот не является самостоятельной системой, представляя собой прослойку между клиентом и банкингом», - подчеркнул Брызгин.

Эксперт считает, что на данный момент проведена недостаточная для статистики проверка банков. И если проверяемые источники позволяли совершать какие-либо операции от легитимного клиента, то такая система является плохо разработанной.

«Судя по публикациям, исследователи оценили случаи использования чат-ботов в двух банках, что, кстати, едва ли можно считать статистически значимой выборкой, и смогли получить ограниченное количество информации о клиенте, его картах и балансе. Сам факт утечки такого рода данных конечно же прискорбен. В дальнейшем они могут пригодиться для самых разных атак на клиента, включая популярный вишинг. Если проверяемые системы действительно позволяли с недоверенного аккаунта переводить деньги от имени легитимного клиента, то, вероятно, проверялись очень плохие чат-боты, привязанные к очень плохим банкингам, разработанным очень плохими разработчиками», - отметил Андрей Брызгин.

Также эксперт подчеркнул, что обходить стороной нужно не сами чат-боты, а компании, которые не следят за их безопасностью.

«Что в сухом остатке? Не нужно бояться чат-ботов, нужно обходить стороной компании, которые не вкладываются в собственную безопасность и публикуют плохо спланированные и непроверенные сервисы. А то, что коллеги такими сообщениями привлекают внимание к сфере информационной безопасности в целом, - это конечно же хорошо», - подчеркнул Брызгин.

Недавно стало известно, что злоумышленники придумали новый вид мошенничества. Они предлагают родителям школьников деньги к началу учебного года и запрашивают персональные данные и сведения о банковской карте на поддельных сайтах.