Обзвон монет: мошенники научились узнавать остатки на счетах в банках

Мошенники научились через голосового помощника банка узнавать номера карт и остатки по счетам клиентов. Об этом "Известиям" рассказали эксперты по кибербезопасности.

Уязвимость подтвердили клиенты Сбербанка, финансовая информация которых таким образом стала известна третьим лицам. С помощью этих данных злоумышленникам легче убедить потенциальную жертву перевести деньги на чужой счет или назвать код из СМС. В прошлом году ЦБ предупреждал банки о рисках несанкционированного доступа к финансовым данным через голосового робота-ассистента в связи с инцидентом, произошедшим в другой крупной кредитной организации. В "Сбере" "Известиям" сообщили, что проводят проверку.

Голосовой воришка

12 июля клиенту "Сбера" Александру поступил звонок от имени службы безопасности банка: "специалист" сообщил о якобы мошенническом переводе и попросил назвать остаток по счету. Александр, помня о том, что на карте у него всего 50 рублей, решил разыграть спектакль и сообщил преступнику, что на счете 350 тыс. Последний, очевидно, заинтересовался крупной добычей, а позже сам стал называть финансовую информацию клиента — в том числе последние цифры всех его карт и остатки по счетам с точностью до копеек.

Александр убежден, что злоумышленник узнавал эту информацию в режиме реального времени. Он сам выяснил, что если звонить в Сбербанк, подменив номер телефона на тот, что привязан к одной из карт кредитной организации, то голосовой помощник по запросу собеседника назовет последние четыре цифры номера карты и сообщит остаток по ней. Если к телефону привязано несколько карт, то можно назвать любые цифры: тогда ассистент заявит, что такого "пластика" нет, и назовет все имеющиеся карты и средства на них.

Корреспондент "Известий" позвонил по номеру 900 в "Сбер" с телефона, к которому подвязана единственная карта банка: по его просьбе робот-помощник действительно назвал последние цифры "пластика" и остаток по счету, не спрашивая дополнительных подтверждений.

Сбербанк проводит проверку представленной информации, сообщили "Известиям" в кредитной организации, добавив, что в настоящий момент указанной проблемы не обнаружено.

Осенью 2020 года подразделение ЦБ по кибербезопасности (ФинЦЕРТ) направило в кредитные организации письмо, в котором сообщалось об использовании мошенниками интерактивного голосового помощника (IVR) для получения информации об остатках на счетах в одном из банков. Звонящему достаточно было использовать подмену номера, а также назвать последние четыре цифры карты, писал тогда РБК. В Банке России сообщали, что уязвимость появилась из-за несоответствия рекомендациям регулятора: если клиентов по телефону обслуживает робот, необходимо использовать дополнительный параметр аутентификации звонящего, например секретный код. "Известия" направили запрос в ЦБ.

Источник, знакомый с ситуацией, сообщил, что речь в письме ЦБ шла не о "Сбере", а о другом крупном розничном банке. "Известия" тогда писали, что в начале сентября 2020-го клиентам Райффайзенбанка массово поступали звонки от мошенников, которые знали актуальные остатки по их счетам.

Непустой звон

В Росбанке "Известиям" сообщили: чтобы узнать остаток по счету у голосового помощника, клиенту нужно позвонить в кредитную организацию со своего номера телефона, пройти по звуковому меню, ввести часть номера карты. В крымском РНКБ робот-ассистент предоставляет информацию о количестве денег на счёте, если гражданин звонит с доверенного номера телефона, указанного им в банке, при условии ввода части реквизитов карты. Для того чтобы узнать остаток в "Тинькофф", звонящему нужно пройти идентификацию вне зависимости от номера, с которого поступил вызов, сообщили в банке, добавив, что факторы проверки могут варьироваться в зависимости от ситуации: сверка по голосу или по персональным данным, а также — с помощью дополнительных вопросов от оператора. В УБРиР заявили, что вовсе не позволяют клиентам узнать баланс через робота-ассистента.

Аутентификация с помощью телефонного номера, привязанного к карте — базовый способ, который используют многие банки, знает технический директор компании RuSIEM Антон Фишман. Он напомнил, что в соответствии с рекомендациями ЦБ для аутентификации по телефону следует использовать два фактора, однако не все учли предложения регулятора. Эксперт подчеркнул, что уязвимость Сбербанка намного опаснее, чем та, о которой ЦБ предупреждал в прошлом году: тогда нужно было знать последние четыре цифры карты, то есть преступникам нужна была база данных клиентов. А сейчас вообще ничего, кроме номера телефона гражданина, знать не нужно.

— Универсальность этой схемы состоит в том, что для ее использования необязательно держать клиента на телефоне. Можно заранее позвонить с подмененного номера, узнать остатки по счетам карт и составить необходимый скрипт. Зачастую чем больше сумма на счёте, тем больше тревожность владельца средств. Именно поэтому состоятельные люди — как правило, образованные и сознательные — всё равно становятся жертвами социальной инженерии, — добавил Антон Фишман.

В последнее время перед мошенниками встала задача "скоринга жертв" в процессе беседы, так как появилось большое число "пранкеров", не обладающих значительными остатками на счетах или картами вообще, но изображающих испуганную жертву и затягивающих разговор с мошенниками ради собственного развлечения, согласен основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. Он пояснил: когда преступнику удается войти в доверие, он может уговорить жертву назвать ему SMS-код подтверждения трансакции и смены пароля в личном кабинете или даже самостоятельно перевести все средства на некий "безопасный счет".

По словам эксперта, возможности голосового помощника обычно ограничены по сравнению с личным кабинетом банка, поэтому вряд ли мошенники смогут с помощью уязвимостей перевести деньги. Однако у многих банков существует возможность блокировки карт через IVR, которая может использоваться злоумышленниками ради мести несговорчивым жертвам.