Siri поможет украсть деньги

Дело в том, что программа Siri, которая помогает в управлении некоторых моделей iPhone при помощи голоса, может помочь и мошенникам. Siri способствует отправке сообщений с заблокированного экрана и совершению переводов, если банк пользователя проводит их при помощи услуги SMS-сообщений по номеру телефона.

По словам сотрудника Сбербанка, в котором такие переводы можно сделать с помощью СМС в мобильном банке, если телефон попал в руки мошенников, достаточно ввода команд в определенной последовательности и деньги будут переведены со счета. После тестирования этой возможности стало понятно, что она работает. Голосовые команды подаются в такой последовательности: «Siri, отправь сообщение на номер девять, ноль, ноль». Практически все уже знают, что 900 — это номер мобильного банка Сбербанка. В сообщении нужно произнести слово «перевод» и указать по одной цифре номер телефона получателя.

Сбербанк потребует подтвердить перевод тоже через СМС-сообщение. Как только банк пришлет код, нужно обратиться к Siri с просьбой, чтобы он прочитал последнее сообщение, а потом отправить пять цифр кода на номер 900 опять-таки через Siri. Перевод произведен, на всю операцию ушло примерно две минуты.

Чтобы злоумышленник смог удачно провести такую операцию, требуется совпадение нескольких факторов: наличие у него доступа к чужому Apple, на который установлен голосовой помощник Siri и есть возможность перевести деньги по номеру телефона через СМС-сообщения. Сбербанк не комментирует данные о случаях хищения денежных средств его клиентов с помощью Siri, но о существовании проблемы ему известно. По словам представителя пресс-службы Сбербанка, работа с Apple идет таким образом, чтобы на уровне ОС не было ни одного шанса для манипуляций с функционалами устройства Siri и СМС-банков. В Сбербанке отслеживаются все операции клиентов, а те, которые вызывают подозрение, подлежат автоматической блокировке. Система безопасности может сама остановить транзакцию, если она аномальна, к примеру, по времени или по сумме, или если платеж производится на номер, занесенный в черный список.

Сбербанк - не единственный банк, клиентам которого доступен перевод денег или оплата других услуг через СМС. Такая же услуга предлагается в мобильном банке Альфа-банка. По словам начальника управления мониторинга электронного бизнеса Альфа-банка Владимира Бакулина, банку ничего не известно о пострадавших из-за такого мошенничества клиентах. Вряд ли такие угрозы станут массовыми, люди не так часто оставляют свои телефоны без присмотра. Вместе с тем, по словам Бакулина, нельзя не признать, что клиентские счета могут быть уязвимы перед мошенничествами с отправкой голосовых команд. Банк протестировал возможность диалога с Siri. И, как заключили наши специалисты, единственное, что может ограничить действия мошенников, сложносоставленное СМС, которое должно быть отправлено.

Для снижения риска мошенничества, в Альфа-банке введено ограничение по максимальной сумме перевода по СМС - 500 руб./день. Для перевода средств через СМС на большую сумму, от клиента требуется создание шаблона в интернет-банке, но лимит переводов не превышает 25 тыс. рублей. Если очевидна нестандартный характер транзакции, подключается служба мониторинга, звонящая клиенту.

В Сбербанке по переводам на счета банка установлено ограничение в 8 тыс. руб , на оплату своего мобильного клиент сможет истратить в день не больше 3 тыс. руб., а сумма ежедневного перевода на другой телефон ограничена 1,5 тыс. руб.

В Тинькофф Банке обслуживание клиентов через СМС существует, но это услуга уведомительно-консультационного характера. К примеру, через СМС доступен запрос баланса карты или ее блокировка, а также получение информации о счетах и вкладах клиентов. Но управление своими счетами «Тинькофф» доступно при помощи бота в Telegram. По словам представителя Тинькофф Банка Дарьи Ермолиной, мессенджеры с Siri не могут прямо взаимодействовать, это означает, что дать команду в мессенджере без разблокировки устройства, через Siri нереально. К тому же в некоторых случаях банк может настоять на верификации клиента. Будет направлен СМС-код с просьбой авторизации в личном кабинете или вообще просто позвонят, чтобы верифицировать голос. По словам Ермолиной, банк располагает системой, способной распознавать клиентов по слепкам голосов, в ней учтены десятки голосовых параметров, которые уникальны применительно к каждому человеку.

Несмотря на комплекс мер безопасности, предпринимаемый банками, самая эффективная защита от мошенников - запрет на операции в мобильном банке при помощи голосового помощника. Сейчас такой запрет действует на уровне настроек ОС: в настройках Siri предусмотрена возможность запрета доступа к Siri при блокировке экрана. Если клиент потерял контроль над телефоном. нужно немедленно обратиться к оператору сотовой связи, чтобы заблокировать номер телефона, и в банк — чтобы заблокировать платежные инструменты.

По словам руководителя направления «аудит и консалтинг» Group-IB Андрея Брызгина, при хищении или потере iPhone, он должен быть в любом случае принудительно заблокирован через сайт, это перекроет доступ к Siri. А самое главное — важно понять, нужно ли вам это приложение, часто ли вы его используете? При ответе «не очень» воздержитесь от его использования. В целом же, вскоре возможен всплеск мошенничеств с использованием Siri. В последней версии ОС Apple наделила голосового помощника доступом к мобильным приложениям, и компании, разрабатывающие мобильный банкинг, наверняка используют эту возможность, дав официальное разрешение на отправку платежей через голосового помощника.

Банкиры постоянно говорят о росте числа киберпреступлений и увеличении расходов, связанных с обеспечением информационной безопасности. В прошлом году объем расходов крупнейшего банка страны на информбезопасность составил порядка 1,5 млрд рублей.