Российские банки рассказали о возможности похитить деньги с помощью Siri
Хакеры могут использовать голосового помощника Siri для вывода средств с банковского счёта, привязанного к номеру телефона. Об этом РБК рассказал сотрудник «Сбербанка».
Клиенты «Сбербанка» могут переводить средства со счёта на счёт с помощью SMS-сообщений по номеру телефона. По словам собеседника издания, Siri позволяет отправлять такие сообщения даже при блокировке смартфона — мошеннику достаточно ввести определённую последовательность команд.
Корреспондент РБК лично убедился в том, что эта схема работает. Он попросил Siri отправить на номер мобильного банка «Сбербанка» (900) сообщение со словом «перевод» и номер телефона получателя. После запроса банк попросил подтвердить перевод с помощью присланного кода. Корреспондент РБК попросил Siri прочитать последнее полученное сообщение, а затем отправил его «Сбербанку».
Издание отмечает, что для проведения подобных операций злоумышленник должен получить доступ к чужому iPhone с установленным помощником Siri, на котором есть возможность перевода по номеру телефона с помощью SMS-сообщений.
В пресс-службе «Сбербанка» сообщили РБК, что знают о проблеме, но от комментариев отказались. Представители кредитной организации отметили, что подозрительные операции автоматически блокируются.
Мы работаем с Apple, чтобы на уровне операционной системы не было возможности манипуляции функциональностью устройства Siri и функциональности SMS-банков.
Система безопасности останавливает транзакции, если они аномальные, например, по времени или сумме, или если платеж происходит на номер из черного списка
— пресс-служба «Сбербанка»
Угрозе вывода средств с привязанного к телефону счёта с помощью Siri подвержены клиенты и других банков, предоставляющих возможность перевода с помощью SMS, указывает РБК. В «Альфа-банке» изданию сообщили, что не сталкивались с подобными случаями мошенничества, но признали, что счета клиентов могут быть уязвимы при отправке голосовых команд.
Мы протестировали возможность диалога с Siri. По нашему заключению, единственным ограничением для мошенников может служить сложность SMS, которую необходимо отправить.
— Владимир Бакулин, начальник управления мониторинга электронного бизнеса «Альфа-банка»
Бакулин добавил, что вряд ли такие случаи будут носить массовый характер. «Всё-таки не так уж часто мы оставляем свой телефон без присмотра», — сказал он.
Чтобы снизить риск мошенничества, банке ввели ограничения по максимальной сумме перевода с помощью SMS. В «Сбербанке» порог на переводы на другие счета составляет 8 тысяч рублей в день, на собственный номер телефона клиента — 3 тысячи рублей, а на номера других пользователей — 1,5 тысячи. В «Альфа-банке» клиент может перевести с помощью SMS не больше 500 рублей — для перевода на большую сумму необходимо создать шаблон в интернет-банке.
В «Тинькофф банке» услуги SMS-осблуживания клиентов носят лишь уведомительно-консультационный характер, сообщила РБК представитель банка Дарья Ермолина. С помощью SMS клиент может запросить баланс карты или заблокировать её, а также получить информацию о счетах и вкладах.
В «Газпромбанке» и «АК Барсе», которые также предоставляют услуги по переводу средств с помощью SMS, не ответили на вопросы РБК.
© vc.ru
