Уязвимости позволяют мошенникам переводить деньги без ведома клиентов.
Специалисты в сфере кибербезопасности обнаружили в банковских чат-ботах уязвимости, которые могут позволить мошенникам переводить денежные средства без разрешения клиентов.
Как стало известно, крупнейшие банки для безопасности пользователей начали ограничивать функциональность чат-ботов в различных мессенджерах, поскольку популярность такого канала взаимодействия с клиентом растет.
Директор по информационной безопасности Awillix Александр Герасимов рассказал, что специалисты компании провели проверки безопасности чат-ботов двух банков. Уязвимости позволили им получить номер и срок действия карт, а также узнать баланс счета и мобильный телефон клиента.
Кроме того, экспертам удалось обойти механизм подтверждения операции — код приходил в переписке с чат-ботом. Аккаунты в мессенджере и на основном сайте банка при этом не были связаны между собой.