Представители Сбербанка рассказали журналистам РБК, что ведут переговоры с компанией Apple. «Мы работаем с Apple, чтобы на уровне операционной системы не было возможности манипуляции функциональностью устройства Siri и функциональностью СМС-банков», — объяснили в пресс-службе банка.
Дело в том, что недавно Сбербанк обнаружил, что голосовой помощник Siri может использоваться для хищения денег со счетов пользователей. В корне проблемы лежит довольно старая тема: обход экрана блокировки iOS при помощи Siri (1 и 2). Недаром исследователи давно рекомендуют отключать использование Siri при активном экране блокировки во избежание различных проблем.
В Сбербанке описали следующий способ атак. Если злоумышленник имеет физический доступ к iPhone жертвы, и к номеру этого телефона привязан банковский счет, мошенник может использовать это в корыстных целях. Даже не разблокируя устройство, мошенник может попросить Siri отправить сообщение на номер девять, ноль, ноль (900 — номер мобильного банка Сбербанка) и продиктовать помощнику слово «перевод», а также номер телефона получателя. Хотя Сбербанк требует подтверждения перевода при помощи СМС-сообщения, это тоже не проблема. После того как банк прислал код, нужно еще раз попросить Siri прочитать последнее сообщение и отправить пять цифр кода на номер 900. В итоге атака занимает всего пару минут. Журналисты РБК пишут, что опробовали описанный способ атак сами, и у них все получилось.
При этом представителям Сбербанка известно о том, что в iOS есть возможность отключения Siri при активном экране блокировки.
«Сейчас запрет на такого рода манипуляции выставляется на уровне настроек операционной системы: в настройках Siri есть возможность запретить доступ к Siri, когда экран заблокирован», — говорят в Сбербанке.
Журналисты поинтересовались мнением о проблеме у представителей Альфа-банка, который тоже имеет функциональность для перевода денег и оплаты услуг посредством СМС-сообщений. В банке ответили, что не знают о случаях, когда из-за подобного мошенничества пострадали бы их клиенты и выразили сомнение, что подобные атаки могут носить массовый характер. «Все-таки не так уж часто мы оставляем свой телефон без присмотра», — говорит начальник управления мониторинга электронного бизнеса Альфа-банка Владимир Бакулин.
Тем не менее, чтобы снизить риск мошенничества, в Альфа-банке ввели ограничение по максимальной сумме перевода с помощью СМС в размере 500 рублей в сутки. «Чтобы сделать перевод через СМС на большую сумму, клиент должен создать шаблон в интернет-банке, но все равно лимит переводов — не более 25 000 рублей», — говорят представители банка. В Сбербанке тоже действуют похожие ограничения. Согласно действующим тарифам, при переводе на счета банка лимит равен 8 000 в день, при оплате своего мобильного клиент не сможет потратить более 3 000 в день, а перевести на сторонний телефон можно не более 1 500 в сутки.