За девять месяцев Сбербанк и Apple так и не решили проблему с Siri. В конце прошлого года, напомним, пользователи выяснили, что iPhone в заблокированном виде может переводить деньги через SMS-банкинг. Siri может списать деньги со счета ничего не подозревающего владельца смартфона. При этом «уязвимость» касается не только Сбербанка, но и «Тинькофф банка».
Любой может попросить у пользователя заблокированный iPhone, вызвать голосовой помощник и попросить Siri отправить SMS-сообщение на номер 900 – это система SMS-банкинга Сбербанка. В сообщении можно указать сумму денежного перевода и номер адресата. Siri успешно распознает поручение и отправит SMS.
В ответ придет код подтверждения и высветится на экране заблокированного iPhone. Этот код нужно также отправить по номеру 900 и верифицировать транзакцию. Для этого также используется Siri. Операцию можно проделать практически на любом iPhone, так как по умолчанию голосовой помощник работает на экране блокировки.
Схожим образом виртуальный ассистент Apple может «подставить» клиентов «Тинькофф банка», причем без обмена SMS-сообщениями о верификации.
На видео ниже показан способ перевода денег с мобильного счета «Сбербанка» при помощи голосовых команды Siri. При этом устройство может быть заблокировано паролем. Функция самостоятельно наберет и отправит SMS, а затем подтвердит списание денег со счета абонента.
С Android-смартфоном такой трюк не пройдет: голосовой помощник Google перед отправкой SMS-сообщения просит разблокировать смартфон.
Сбербанк работает с Apple, чтобы на уровне операционной системы запретить манипуляции с Siri и функционалом SMS-банков, сообщил представитель Сбербанка. Операции отслеживаются, а подозрительные – автоматически блокируются, заверили в компании. Однако в случае потери iPhone представитель Сбербанка рекомендует обратиться к мобильному оператору и в банк для блокировки номера и счетов.
Сервис SMS-банкинга позволяет узнавать о состоянии счета, получать данные о списаниях, оплачивать мобильный телефон и переводить деньги клиентам Сбербанка. Но у этих операций есть лимиты: можно перевести деньги не более чем на десять мобильных номеров, каждый платеж не должен превышать 1500 руб. Переводы на известные банку карты ограничены 8000 руб., их также может быть не более 10 в сутки.
Несмотря на меры безопасности, которые предпринимает банк, наиболее эффективной защитой от мошенников является запрет на операции в мобильном банке через голосовых помощников.