Российские банки признали опасную уязвимость в iPhone
Фото: © РИА НОвости/Максим Богодвид/Алексей Мальгавко © East News/AP Photo/Eric Risberg
По словам представителей Сбербанка и "Альфа-банка", мошенники действительно могут перевести деньги, не разблокируя устройство.
Сотрудники крупных российских банков подтвердили изданию РБК, что голосовой ассистент Siri может помогать не только пользователям, но и аферистам. В частности, мошенники нашли способ перевести деньги даже с заблокированного iPhone.
О подобной уязвимости стало известно несколько дней назад благодаря экспертам в области кибербезопасности из компании Cadmus. Исследователи пошагово описали способ кражи. Они также уточнили, что взлом окажется удачным, если айфоном владела девушка, потому что Siri плохо различает женские голоса.
Чтобы переслать чужие деньги на свой счёт, злоумышленнику необходимо завладеть смартфоном жертвы, а затем озвучить голосовому ассистенту все нужные команды через синтезатор речи. Siri будет уверена, что с ней разговаривает хозяйка, и согласится выполнить все запросы.
Например, вор может попросить помощника отправить СМС на номер банка, чтобы совершить перевод на другой счёт. Затем из кредитной организации придёт подтверждение транзакции с одноразовым паролем: злоумышленник должен попросить Siri прочитать вслух последнее сообщение, а затем отправить код банку. Стоит отметить, что подобный способ работает только с теми банками, которые поддерживают управление счётом через СМС.
В Сбербанке заявили, что знают о проблеме, однако рассказывать о случаях возможных хищений не стали. "Мы работаем с Apple, чтобы на уровне операционной системы не было возможности манипуляции функциональностью устройства Siri и функциональностью SMS-банков. Система безопасности останавливает транзакции, если они аномальные, — например, по времени или сумме, или если платёж происходит на номер из чёрного списка", — рассказали в пресс-службе банка.
Представители "Альфа-банка" уверены, что их клиентов подобная проблема пока что не затронула, однако опасность действительно существует. "Мы в банке протестировали возможность диалога с Siri. По нашему заключению, единственным ограничением для мошенников может служить сложность СМС, которую необходимо отправить", — прокомментировал ситуацию начальник управления мониторинга электронного бизнеса "Альфа-банка" Владимир Бакулин.
Чтобы снизить риски подобного мошенничества, руководство кредитной организации ввело ограничение по максимальной сумме перевода через СМС. Теперь клиент может перевести не более 500 рублей в день: для больших сумм (до 25 тыс. руб.) ему придётся создать шаблон в интернет-банке.
Сотрудники обоих банков посоветовали пользователям включить запрет на операции в мобильном банке через голосовых помощников. "Сейчас запрет на такого рода манипуляции выставляется на уровне настроек операционной системы: в настройках Siri есть возможность запретить доступ к Siri, когда экран заблокирован", — заявили в Сбербанке.
