Сири где взять денег - Мировой кризис и Я
Gocapital.ru

Мировой кризис и Я
6 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Сири где взять денег

Инструкция: как спасти свои деньги от Siri

В чем заключается уязвимость Siri

Злоумышленник получил доступ к чужому и заблокированному айфону. Он вызывает Siri и просит ее отправить сообщение на номер СМС-банка, например, на номер 900, а потом диктует команду, например, о том, чтобы перевести 5000 рублей на свою карточку или пополнить баланс своего телефона на 1000 рублей. В ответном сообщении СМС-банк пришлет код, для того чтобы подтвердить операцию. Поскольку код не виден в уведомлении, злоумышленник попросит Siri зачитать последнее СМС. Помощница прочитает сообщение вместе с кодом, а злоумышленник продиктует код для сообщения СМС-банку и получит деньги. Об уязвимости впервые сообщило издание РБК в октябре прошлого года, в июле газета «Ведомости» обнаружила, что уязвимость все еще не закрыта.

Какие версии iOS подвержены уязвимости

В конце марта вышло обновление 10.3, которое запретило помощнице «отображать содержимое текстовых сообщений на заблокированном устройстве». Теперь, если попросить Siri прочитать последние сообщения, она сначала потребует разблокировать айфон, а потом перейдет в приложение с СМС. Во время подготовки материала у нас не получилось перевести деньги через СМС-банк и Siri на iPhone 5 с iOS 10.3.1 — помощница просила ввести код разблокировки. Но во время других тестов — на iPhone 5 с iOS 10.3.2, на iPhone 6 с iOS 10.3.2 и на iPhone 4s с iOS 9.3.5 — она все же прочитала сообщения с кодом, который подтверждал перевод денег с карты, на экране блокировки. Во время тестов на iPhone 4s с iOS iOS 9.3.5 помощница иногда отказывалась читать сообщение и просила вводить пароль разблокировки, если ее просили прочитать одно последнее сообщения, а не несколько сообщений. На всех айфонах был установлен пароль.

Чьи деньги Siri ставит под угрозу

Владельцев банковских карт, которые подключили услугу СМС-банка. Клиенты Сбербанка через СМС пополняют баланс телефона и переводят деньги на другие карты. За сутки разрешается перевести на чужие карточки не больше 8000 рублей и внести на счет телефона не больше 1500 рублей. Переводы одобряются кодом из пяти цифр.

В «Тинькофф Банке» с помощью СМС пополняют баланс телефона. Для этого в сообщении указывают последние четыре цифры банковской карты, с которой спишутся деньги. Это усложнит работу злоумышленнику: ему нужно иметь доступ к айфону и знать данные карты.

Альфа-банк через СМС переводит деньги и пополняет баланс телефона. Операции подтверждаются длинным кодом с буквами и цифрами, который сложно записать при помощи Siri. За сутки у Альфа-банка по СМС разрешается пополнить баланс телефона на сумму до 500 рублей. А денежные переводы работают только между картами Альфа-банка.

Некоторые банки не переводят деньги между картами с помощью СМС, а только пополняют баланс телефона. Так работают Райффайзенбанк, Московский индустриальный банк, банк «Русский стандарт», МТС-банк, Газпромбанк.

Как закрыть уязвимость в своем айфоне

Обновитесь до версии iOS 10.3 или выше. Если обновиться не получилось или уязвимость не пропала, воспользуйтесь следующими советами.

Если часто пользуетесь СМС-банком, но редко говорите с Siri, запретите помощнице работать на заблокированном экране (это делается в настройках во вкладке Siri). Она перестанет слушать команды до разблокировки айфона.

Если часто говорите с Siri, но редко пользуетесь СМС-банком, отключите СМС-банк. У Сбербанка нужно отправить СМС с цифрой 0 на номер 900, у «Тинькофф Банка» СМС-банк отключают в приложении (во время подготовки материала счет телефона удалось пополнить даже после отключения СМС-банка). Чтобы отключить СМС-банк у Райффайзенбанка и Альфа-банка, нужно обратиться в отделение или в техническую поддержку по телефону. У такого решения есть существенный минус: перестанут приходить сообщения о последних платежах и переводах с карты и вы можете вовремя не заметить, что по вашей карте совершаются неизвестные платежи.

В Siri были и другие уязвимости

Это не первая уязвимость. В iOS 7 через Siri можно было зайти в приложение для звонков. В iOS 9 через ошибку в Siri открывался доступ к чужим контактам и фотографиям на заблокированном айфоне. В iOS 10 обнаружили способ обойти блокировку айфона с помощью Siri и звонка по FaceTime. С помощью дыры в системе безопасности недоброжелатель получал доступ к контактам, сообщениям и фотографиям (но для этого ему нужно было знать номер телефона жертвы). В прошлом году американец рассказал на Reddit историю о том, как сосед через окно попросил у Siri открыть дверь в его дом, и помощница выполнила просьбу. Во всех случаях проблема решалась отключением Siri на экране блокировки.

Наглядный пример увода денег с карты Сбербанка через Siri. Обновлено: признали другие банки

Теперь всё официально.

Про эту ситуацию мы написали на прошлой неделе. Теперь есть пруф.

Сегодня стало известно, что Сбербанк, Тинькофф Банк и Альфа-Банк подтвердили небезопасность подобных команд Siri. Как пишет РБК, Сбербанк ограничивает такие SMS-переводы лимитом в 8 000 рублей в день, а Альфа-Банк установил ограничение 500 рублей/день.

Представители банков по-прежнему рекомендуют банально отключать Siri, если вы опасаетесь мошенничества такого рода. Также в Сбербанке можно отключить функцию управления средствами на счёте через SMS, отправив цифру 0 на номер 900.

Читать еще:  История денег и их функции

Как развивались события

В компании Cadmus (IT-поддержка и безопасность) сняли видео с обходом защиты айфона по отпечатку, распознаванию голоса хозяина и несанкционированным переводом со счета Сбербанка на другой. Такое возможно осуществить не только со Сбером, но и Альфой, Газпромбанком, Югрой, Ак Барсом, Новикомом и многими другими, которые предоставляют управление счетом через СМС.

Итак, привет, Сири. Переведи 15 000 рублей на счет 12##7.

Цитата: Одна из основных проблем голосовых помощников — аутентификация пользователя, вроде Voice ID (та, которая на первом запуске назойливо просит поздороваться 5 раз). Siri просто-напросто не “может быть уверена”, хозяину ли принадлежит обращающийся к ней голос. Только с какой-то долей вероятности. Получается это пока не очень — для удобства потребителей и гарантии срабатывания, чувствительность узнавания хозяина Voice ID довольно низкая.

В любом случае, голос хозяина однажды возможно записать на диктофон, чтобы потом использовать его для запуска команд. Сколько можно дать прав такому “незнакомцу”, когда на 100% не уверен, что это владелец? Можно ли ему звонить с телефона и слать сообщения?

Начиная с 2015-го года в Apple считают, что можно. [Cadmus]

PS: Сбер требует удалить публикацию:

>>> Информируем Вас о том, что ПАО “Сбербанк” предпринимает активные действия, направленные на пресечение фактов распространения информации, порочащей деловую репутацию ПАО “Сбербанк”. В рамках данной программы регулярно производится мониторинг сети Интернет.

В ходе данного мониторинга был обнаружен ресурс iphones.ru (IP: 104.25.238.112), где 13.10.2016 опубликована статья “Наглядный пример увода денег с карты Сбербанка через Siri”:

В связи с вышеизложенным, просим Вас удалить все упоминания ПАО “Сбербанк” из данной статьи, а также удалить видео-материал, который негативно влияет на деловую репутацию банка.

(Нет голосов)

Банки признали возможность кражи денег с помощью Siri

Программа Siri, помогающая управлять некоторыми моделями iPhone с помощью голоса, может стать помощником и для мошенников. Она позволяет отправлять сообщения с заблокированного экрана и делать переводы, если банк пользователя может проводить их с помощью СМС-сообщений по номеру телефона. Об этом рассказал РБК сотрудник Сбербанка, в котором возможность таких переводов доступна с помощью СМС в мобильном банке.

В том случае если телефон оказался в руках мошенника, ему достаточно ввести определенную последовательность команд, чтобы перевести деньги со счета, привязанного к номеру телефона. Корреспондент РБК протестировал такую возможность и убедился, что она работает. «Siri, отправь сообщение на номер девять, ноль, ноль» — так начинается последовательность голосовых команд. 900 — это номер мобильного банка Сбербанка. В сообщении надо продиктовать помощнику слово «перевод» и номер телефона получателя — также по одной цифре.

Сбербанк требует подтверждения перевода также с помощью СМС-сообщения. После того как банк прислал код, надо попросить Siri прочитать последнее сообщение и отправить пять цифр кода на номер 900 также с помощью Siri. Перевод прошел, вся операция заняла около двух минут.

Для проведения злоумышленником подобной операции должно совпасть несколько факторов: он должен получить доступ к чужому устройству Apple с установленным голосовым помощником Siri, на котором есть возможность перевода по номеру телефона с помощью СМС-сообщений. ​В Сбербанке не комментируют информацию о возможных случаях хищения денег их клиентов с помощью Siri, хотя о проблеме знают. «Мы работаем с Apple, чтобы на уровне операционной системы не было возможности манипуляции функциональностью устройства Siri и функциональностью СМС-банков», — заявили РБК в пресс-службе Сбербанка.

В банке также добавили, что отслеживают все операции клиентов, а подозрительные — автоматически блокируются. «Система безопасности останавливает транзакции, если они аномальные, например по времени или сумме, или если платеж происходит на номер из черного списка», — сообщил официальный представитель кредитной организации.

Сбербанк не единственная кредитная организация, предоставляющая клиентам возможность перевести деньги или произвести оплату других услуг с помощью СМС. Аналогичную услугу в своем мобильном банке предлагает, в частности, Альфа-банк в СМС-банке «Альфа-Чек». В кредитной организации говорят, что не знают о случаях, когда из-за подобного мошенничества пострадали бы их клиенты. «Вряд ли они будут носить массовый характер, все-таки не так уж часто мы оставляем свой телефон без присмотра», — сказал начальник управления мониторинга электронного бизнеса Альфа-банка Владимир Бакулин.

В то же время он признал, что счета клиентов могут быть уязвимы для мошенников при отправке голосовых команд. «Мы в банке протестировали возможность диалога с Siri. По нашему заключению, единственным ограничением для мошенников может служить сложность СМС, которую необходимо отправить», — говорит Бакулин. Отправить деньги на чужой сотовый телефон у него не получилось, хотя он признает, что короткие команды помощник выполняет.

Чтобы снизить риск мошенничества, в Альфа-банке ввели ограничение по максимальной сумме перевода с помощью СМС в размере 500 руб. в день. «Чтобы сделать перевод через СМС на большую сумму, клиент должен создать шаблон в интернет-банке, но все равно лимит переводов — не более 25 тыс. руб.», — рассказал представитель Альфа-банка. Он также добавил, что при любой нестандартной транзакции подключается служба мониторинга, которая звонит клиенту.

Читать еще:  Заработок денег подростку в интернете

В Сбербанке, согласно действующим тарифам, действует ограничение в 8 тыс. руб. при переводе на счета банка, при оплате своего мобильного клиент не сможет потратить более 3 тыс. руб. в день, а перевести на сторонний телефон можно не более 1,5 тыс. руб. в сутки. Сервисы по моментальному переводу средств с помощью СМС-сообщений также есть в Газпромбанке, «АК БАРС» (они на запрос РБК не ответили).

В Тинькофф Банке есть функция обслуживания клиентов через СМС, но эти услуги носят лишь уведомительно-консультационный характер. Например, с помощью СМС можно запросить баланс карты или заблокировать ее, а также получить информацию о счетах и вкладах клиента. Вместе с тем управлять своими счетами «Тинькофф» предлагает с помощью бота в Telegram. «Мессенджеры с Siri напрямую не взаимодействуют, т.е. отдать команду в мессенджере, не разблокировав устройство, через Siri не получится», — уверяет представитель Тинькофф Банка Дарья Ермолина.

Кроме того, уточнили в Тинькофф Банке, в ряде случаев банк может потребовать верификации клиента. «Мы можем направить СМС-код, попросить авторизоваться в личном кабинете или вообще позвонить для верификации голоса», — рассказала Ермолина. По ее словам, в банке есть система распознавания клиентов по голосовым слепкам, в которой учитываются несколько десятков параметров голоса, которые у каждого человека уникальны.

Несмотря на меры безопасности, которые предпринимают банки, наиболее эффективной защитой от мошенников является запрет на операции в мобильном банке через голосовых помощников. «Сейчас запрет на такого рода манипуляции выставляется на уровне настроек операционной системы: в настройках Siri есть возможность запретить доступ к Siri, когда экран заблокирован», — советует Сбербанк. То же советует и Альфа-банк. В случае потери контроля над телефоном банкиры рекомендуют незамедлительно обратиться к оператору сотовой связи для блокировки номера телефона, а также в банк — для блокировки платежных инструментов.

«В случае хищения или утраты iPhone его необходимо в любом случае принудительно блокировать через сайт, это отрежет пути доступа к Siri. А самая главная рекомендация — определиться, так ли вам необходимо это приложение, насколько часто вы пользуетесь его услугами. Если ответ «не очень», то лучше не использовать его», — говорит руководитель направления «аудит и консалтинг» Group-IB Андрей Брызгин.

Он предупреждает о возможном всплеске случаев мошенничества с использованием Siri. В последней версии операционной системы Apple дала голосовому помощнику доступ к мобильным приложениям, поясняет он, и разработчики мобильного банкинга наверняка будут пользоваться этой возможностью и официально разрешат через голосового помощника отправлять платежи.

Как ранее писал РБК, число преступлений, связанных с хищением средств с помощью мобильных устройств, в последние годы растет рекордными темпами. По подсчетам Group-IB, общий объем средств, похищенных хакерами у российских банков с июля 2015 по июль 2016 года, составил 5,5 млрд руб. Банкиры также отмечают рост числа киберпреступлений и увеличение затрат на информационную безопасность. Как ранее говорил зампред Сбербанка Станислав Кузнецов, число инцидентов в области информационной безопасности за последние два года выросло в 12 раз. В 2015 году крупнейший банк страны потратил на информационную безопасность около 1,5 млрд руб., или 0,7% от чистой прибыли по МСФО.

Siri опасна для клиентов Сбербанка и «Тинькофф банка»

За девять месяцев Сбербанк и Apple так и не решили проблему с полномочиями голосового помощника Siri. В октябре прошлого года РБК сообщал, что во время блокировки iPhone помощник Siri умеет переводить деньги его владельца через sms-банкинг. В пятницу об этом вновь сообщил один из пользователей социальных сетей, и «Ведомости» убедились, что Siri до сих пор не утратила своих способностей. Но оказалось, что она умеет оперировать счетом не только клиентов Сбербанка, но и «Тинькофф банка».

Производители смартфонов по всему миру озабочены запуском новых мобильных сервисов

С разрешения своего коллеги корреспондент «Ведомостей» вызвал помощника Siri на его заблокированном iPhone и попросил Siri отправить sms-сообщение на номер 900 – это система sms-банкинга Сбербанка. В сообщении корреспондент «Ведомостей» голосом указал сумму денежного перевода и номер адресата. Siri распознала поручение и отправила sms. В ответ пришел код подтверждения от системы sms-банкинга Сбербанка – и высветился на экране заблокированного iPhone. Этот код нужно было отправить по номеру 900 и верифицировать транзакцию. Корреспондент «Ведомостей» снова прибег к помощи Siri, и деньги ушли.

Помогла Siri перевести деньги на мобильный счет корреспондента «Ведомостей» со счета в «Тинькофф банке», причем без обмена sms-сообщениями о верификации.

У «Тинькофф банка» есть ограничения на sms-перевод. Представительница банка уточняет, что максимум можно перевести 800 руб. на собственный счет и 800 — на внешний, в сумме всего 1600 руб. в месяц. Она указывает на ограниченный список операций через sms-банк: помимо оплаты мобильного это запрос баланса, блокировка карты, помощь и информация по вкладам. Плюс если бы у клиента банка было две банковских карты, привязанных к номеру телефона, с которого делался перевод (а не одна, как проверяли «Ведомости»), в сообщении нужно было бы указать дополнительно последние четыре цифры номера нужной карты, что также осложняет задачу, пояснял сотрудник службы поддержки банка.

Читать еще:  Функции денег кратко примеры

Эксперимент «Ведомостей» с android-устройством успехом не увенчался: голосовая система «Ok Google» перед отправкой sms-сообщения попросила все же разблокировать смартфон.

Сбербанк работает с Apple, чтобы на уровне операционной системы запретить манипуляции с Siri и функционалом sms-банков, сообщил представитель Сбербанка. По его словам, сейчас можно настроить операционную систему так, что во время блокировки экрана не работает и Siri. Операции отслеживаются, а подозрительные – автоматически блокируются, заверил представитель банка, уточняющий, что банк намерен и дальше повышать цифровую грамотность пользователей. Однако в случае потери телефона представитель Сбербанка рекомендует обратиться к мобильному оператору и в банк для блокировки номера и счетов.

По собственным данным Сбербанка, 68 млн клиентов sms-банкинга ежедневно делают более 3 млн платежей и переводов. Сервис sms-банкинга позволяет узнавать о состоянии счета, получать данные о списаниях, оплачивать мобильный телефон и переводить деньги клиентам Сбербанка, говорится на сайте банка. Но у этих операций есть лимиты: можно перевести деньги не более чем на десять мобильных номеров, каждый платеж не должен превышать 1500 руб. Переводы на известные банку карты ограничены 8000 руб., их также может быть не более 10 в сутки.

«ВТБ 24» такой сервис не использует, пояснил представитель банка. Клиент Райффайзенбанка может пополнять с помощью sms лишь свой мобильный счет и переводить деньги между собственными картами, говорится на сайте банка. Сервис sms-команд есть у Альфа-банка, но он позволяет лишь пополнять собственный мобильный счет и проводить платежи по шаблонам, предварительно созданным в интернет-банке. При этом в сутки можно перевести не более 1000 руб.

«Сбербанк» предупредил пользователей о возможности кражи денег с помощью Siri

Голосовой помощник Siri, помогающий управлять iPhone с помощью голосовых команд, может стать помощником и для мошенников. Функция позволяет отправлять сообщения с заблокированного экрана и делать переводы, если банк пользователя может проводить их с помощью SMS-сообщений по номеру телефона. Об этом сообщает РБК со ссылкой на сотрудника Сбербанка.

В том случае если iPhone оказался в руках мошенника, ему достаточно ввести определенную последовательность команд, чтобы перевести деньги со счета, привязанного к номеру телефона. «Siri, отправь сообщение на номер девять, ноль, ноль», — так начинается последовательность голосовых команд. 900 — это номер мобильного банка Сбербанка. В сообщении надо продиктовать помощнику слово «перевод» и номер телефона получателя — также по одной цифре.

Сбербанк требует подтверждения перевода также с помощью SMS-сообщения. После того как банк прислал код, надо попросить Siri прочитать последнее сообщение и отправить четыре цифры кода на номер 900 также с помощью Siri. Вся операция занимает около двух минут.

Для проведения злоумышленником подобной операции должно совпасть несколько факторов: он должен получить доступ к чужому устройству Apple с установленным голосовым помощником Siri, на котором есть возможность перевода по номеру телефона с помощью SMS-сообщений. В Сбербанке не комментируют информацию о возможных случаях хищения денег их клиентов с помощью Siri, хотя о проблеме знают.

«Мы работаем с Apple, чтобы на уровне операционной системы не было возможности манипуляции функциональностью устройства Siri и функциональностью SMS-банков», — заявили в пресс-службе Сбербанка.

В банке также добавили, что отслеживают все операции клиентов, а подозрительные — автоматически блокируются. «Система безопасности останавливает транзакции, если они аномальные, например по времени или сумме, или если платеж происходит на номер из черного списка», — сообщил официальный представитель кредитной организации.

Сбербанк не единственная кредитная организация, предоставляющая клиентам возможность перевести деньги или произвести оплату других услуг с помощью SMS. Аналогичную услугу в своем мобильном банке предлагает, в частности, Альфа-банк в СМС-банке «Альфа-Чек».

Чтобы снизить риск мошенничества, в Альфа-банке ввели ограничение по максимальной сумме перевода с помощью SMS в размере 500 руб. в день. «Чтобы сделать перевод через СМС на большую сумму, клиент должен создать шаблон в интернет-банке, но все равно лимит переводов — не более 25 000 руб.», — рассказал представитель Альфа-банка. Он также добавил, что при любой нестандартной транзакции подключается служба мониторинга, которая звонит клиенту.

В Тинькофф Банке есть функция обслуживания клиентов через SMS, но эти услуги носят лишь уведомительно-консультационный характер. Например, с помощью SMS можно запросить баланс карты или заблокировать ее, а также получить информацию о счетах и вкладах клиента. Вместе с тем управлять своими счетами «Тинькофф» предлагает с помощью бота в Telegram.

Несмотря на меры безопасности, которые предпринимают банки, наиболее эффективной защитой от мошенников является запрет на операции в мобильном банке через голосовых помощников. «Сейчас запрет на такого рода манипуляции выставляется на уровне настроек операционной системы: в настройках Siri есть возможность запретить доступ к Siri, когда экран заблокирован», — советует Сбербанк. В случае потери контроля над телефоном банкиры рекомендуют незамедлительно обратиться к оператору сотовой связи для блокировки номера телефона, а также в банк — для блокировки платежных инструментов.

Ссылка на основную публикацию
Adblock
detector