Эксперты по кибербезопасности компании “Авилликс” обнаружили лазейку в банковских чат-ботах, благодаря которой злоумышленники могут переводить деньги со счетов владельцев без их ведома. Уязвимость позволяет мошенникам переводить деньги на любой счет без подтверждения операции.
Таким образом, мошенники могут получить доступ к таким данным, как номер и срок действия карты, текущий баланс счета, номер телефона клиента банка. Однако специалисты уверены, что, если злоумышленник получит доступ к мессенджеру, в котором работает чат-бот банка, это ещё не значит, что он сможет входить в личный кабинет клиента банка.
Представители компании “Позитивные технологии” проанализировали выявленную уязвимость и считают, что основная проблема с безопасностью может возникнуть только в том случае, если злоумышленники получат полный контроль над чат-ботом. Тогда они смогут получить базу клиентов банка или загрузить и разослать всем пользователям файл с вредоносным содержанием. Но чаще всего мошенники меняют функционал бота для получения информации о человеке и общения с ним под видом чат-бота.