Голосовая программа Siri, используемая в управлении iPhone, может использоваться мошенниками, так как позволяет отправлять сообщения при заблокированном экране и делать переводы средств, если банк пользователя устройства позволяет проводить такую операцию с помощью СМС-сообщений. Об этом сообщает РБК со ссылкой на сотрудника российского «Сбербанка». Эта финансовая организация позволяет проведение перевода средств с помощью СМС. С подробностями знакомит издание «Биржевой лидер».
В контексте данного вопроса можно утверждать, что действительно, если мошенник завладел чужим телефоном, то достаточно выполнить определенную последовательность команд, и деньги с банковского счета хозяина аппарата могут быть переброшены по указанному адресу. Тестирование такой возможности только подтвердило это предположение. Используя последовательность голосовых команд через Siri можно обратиться, например, к «Сбербанку» и продиктовать помощнику перевод на номер телефона стороннего получателя. «Сбербанк» предлагает подтвердить перевод с помощью СМС, через тот же Siri можно передать команду прочитать последнее сообщение и отправить цифры кода на специальный банковский номер. В случае выполнения последовательности указанных операций всего за пару минут операция может быть завершена.
Безусловно, при этом для мошенника должны совпасть определенные условия: у него должен быть доступ к чужому устройству Apple, где должен быть установлен помощник Siri с возможностью перевода по номеру телефона через СМС-сообщения. В «Сбербанке» признают наличие такой проблемы, и утверждают, что работают над ней вместе с Apple, чтобы на уровне ОС не было возможности для манипуляций с функциональностью Siri и СМС-банков. Кроме того, в банке утверждают, что следят за операциями клиентов, и в случае подозрительных действий автоматически их блокируют. Признаками таких транзакций может быть временной фактор, сумма перевода, или перевод платежа на номер из «черного списка».
Возможность перевода средств с помощью СМС есть и у других банков. В частности такая услуга поддерживается «Альфа-банком» в его СМС-банкинге. Но, по словам начальника управления мониторинга электронного бизнеса «Альфа-банка» В. Бакулина, о случаях, когда клиенты банка страдали бы из-за подобного мошенничества, им не известно, все-таки люди оставляют свой телефон без присмотра не столь часто. Но представитель банка, тем не менее признал, что клиентские счета могут быть уязвимы при отправке голосовых команд. Возможности диалога с Siri были протестированы, и выяснилось, что единственным ограничением для мошенников может быть только сложность СМС, которое необходимо отправить. Для снижения рисков «Альфа-банке» ввели ограничение на максимальный перевод с помощью СМС в день - 500 рублей. Для проведения перевода на бОльшую сумму клиенту придется создать шаблон в интернет-банке, но и в этом случае существует лимит - 25 тысяч рублей. Кроме того, за выявлением нестандартных транзакции следит служба мониторинга, которая перезванивает клиенту.
В «Сбербанке» также существует ограничение при переводе на счета банка - 8 тысяч рублей, при пересылке на свой мобильный номер - 3 тысячи рублей в день, а на сторонний номер - 1,5 тысячи рублей в день. Моментальный перевод средств через СМС есть в «Газпромбанке» и «АК БАРС». В «Тинькофф Банке» действует функция обслуживания клиентов по СМС, но только на уровне уведомлений и консультаций: баланс карты или ее блокировка, информация о счетах и вкладах. Управление счетами предполагает использование бота в Telegram. Таким образом, по словам представителя «Тинькофф Банка» Д. Ермолиной, напрямую мессенджеры с Siri не взаимодействуют, получается, что отдать команду в мессенджере без разблокировки устройства не получится. Кроме того, в ряде случаев банк предлагает верификацию клиента через СМС-код, авторизацию в личном кабинете, верификацию голоса через звонок. У банка есть система распознавания клиента по голосовым слепкам, там учитываются десятки голосовых параметров, уникальных у каждого человека.
Тем не менее, несмотря на все на меры предосторожности, предпринимаемые банками, от мошенников наиболее эффективной защитой остается запрет на операции в мобильном банкинге через голосовых помощников. Это можно решить на уровне настроек ОС - в настройках Siri выставить запрет на доступ к Siri при заблокированном экране. Ну, а в случае потери телефона необходимо незамедлительно блокировать номер телефона через оператора сотовой связи и блокировать платежные инструменты в банке. В случае с iPhone его в любом придется принудительно блокировать через сайт, что отрежет пути доступа к Siri. И, пожалуй, самое главное – пользователю следует определиться насколько вообще ему необходимо данное приложение. В последней версии ОС Apple дала голосовому помощнику Siri доступ к мобильным приложениям, и разработчики мобильного банкинга несомненно воспользуются этой возможностью и разрешат официально отправлять платежи через голосового помощника.
Согласно подсчетам Group-IB, с июля прошлого по июль нынешнего года объем средств, похищенных у российских банков хакерами, составил 5,5 млрд. рублей. Растет и число киберпреступлений.
