Global Look Press

Голосовой помощник Siri, установленный на мобильных устройствах Apple, может быть использован злоумышленниками для хищения средств с привязанного к номеру владельца устройства счета.

Как пишет РБК, речь идет о случаях, когда банк пользователя поддерживает функцию перевода средств с привязанного счета при помощи SMS-сообщений. Об этом изданию рассказал сотрудник "Сбербанка", в котором возможность таких переводов доступна клиентам в мобильном банке.

По его словам, в том случае если смартфон окажется в руках мошенника, ему достаточно будет ввести определенную последовательность команд, чтобы перевести деньги со счета. Для начала ему необходимо скомандовать Siri отправить сообщение на номер 900 со словом "перевод" и номером телефона получателя.

В ответ "Сбербанк" пришлет код и потребует подтвердить перевод SMS-сообщением с этим кодом. Для выполнения этой операции надо попросить Siri прочитать последнее сообщение и отправить пять цифр кода на номер 900 также с помощью Siri. После этого перевод будет завершен.

Стоит отметить, что для осуществления такой кражи злоумышленником должно совпасть несколько факторов: он должен получить доступ к чужому гаджету Apple с включенным голосовым помощником Siri и работающей функцией перевода по номеру телефона с помощью SMS-сообщений.

Представители "Сбербанка" не стали комментировать информацию о возможных случаях хищения денег их клиентов с помощью Siri, но признали, что знают об этой лазейке.

"Мы работаем с Apple, чтобы на уровне операционной системы не было возможности манипуляции функциональностью устройства Siri и функциональностью SMS-банков", - сообщили в пресс-службе "Сбербанка", уточнив, что банк отслеживает все операции клиентов, и подозрительные автоматически блокируются.

Аналогичная услуга перевода средств доступна и в мобильном банке "Альфа-банка", представители которого сообщили, что им неизвестно о случаях, когда из-за подобного мошенничества пострадали бы клиенты банка.

В то же время начальник управления мониторинга электронного бизнеса "Альфа-банка" Владимир Бакулин признал, что счета клиентов могут быть уязвимы для мошенников при отправке голосовых команд.

Для снижения риска мошенничества "Альфа-банк" ввел ограничение на сумму перевода с помощью SMS-сообщений в размере 500 рублей в день. В "Сбербанке" же действует ограничение в восемь тысяч рублей при переводе на счета банка, при оплате счета своего мобильного клиент не сможет потратить более трех тысяч рублей в день, а перевести на сторонний телефон можно не более 1,5 тысячи рублей в день.

Однако наиболее эффективной защитой от мошенников является запрет на операции в мобильном банке через голосовых помощников.

"Сейчас запрет на такого рода манипуляции выставляется на уровне настроек операционной системы: в настройках Siri есть возможность запретить доступ к Siri, когда экран заблокирован", - отметили в "Сбербанке". Аналогичную рекомендацию дали и представители "Альфа-банка". В случае потери контроля над телефоном банкиры рекомендуют незамедлительно обратиться к оператору сотовой связи для блокировки номера телефона, а также в банк - для блокировки платежных сервисов.

"В случае хищения или утраты iPhone его необходимо в любом случае принудительно блокировать через сайт, это отрежет пути доступа к Siri. А самая главная рекомендация - определиться, так ли вам необходимо это приложение, насколько часто вы пользуетесь его услугами. Если ответ "не очень", то лучше не использовать его", - отметил руководитель направления "аудит и консалтинг" компании Group-IB Андрей Брызгин.