Директор по информационной безопасности компании Awillix Александр Герасимов рассказал об обнаруженной уязвимости чат-ботов банков, которая чревата хищением денег россиян.
Сообщается, что выявленная уязвимость банковский чат-ботов позволяет мошенникам выяснить не только баланс счета, но и номер телефона, а также номер и срок действия карты жертвы.
»Уязвимости позволяют попасть в личный кабинет клиента в чат-боте и обойти механизм подтверждения операции, например, во время перевода денег. В ходе пентестов удавалось зайти в аккаунт тестового клиента и совершить операцию на перевод денег», — поделился специалист.
Отмечается, что профили клиента на сайте банка и в мессенджере не имеют связь. Так, в случае, если мошенник вошел в аккаунт пользователя в чат-боте, у него не будет возможности перейти и в его аккаунт аккаунт.
© Ferra.ru
