Как Siri помогает с финансами

С помощью голосового помощника Siri владельцы устройств на iOS могут работать в мобильных приложениях банков. В частности, такую опцию уже сделали доступной Сбербанк, Промсвязьбанк, Модульбанк. Функция доступна для физлиц, ИП и юрлиц.

Например, если нужно перевести деньги, следует обратиться к Siri, назвать операцию, имя контакта и сумму: «Привет, Siri, переведи Анне 1000 рублей». Голосовой помощник выберет подходящие контакты из телефонной книги и уточнит, кому должен уйти перевод.

Кроме того, с помощью Siri можно делать переводы через СМС. Для этого попросите отправить сообщение с определённой командой на номер банка.

Для интеграции с Siri в мобильном приложении банка необходимо в настройках включить голосовые команды.

Банки сообщают, что возможностью переводить деньги с помощью Siri пользуются хакеры. Рассмотрим на примере. Клиенты Сбербанка могут переводить деньги по СМС, отправив на номер 900 команду «перевод» и номер телефона получателя. Голосовой помощник Siri позволяет отправлять такие сообщения, даже если телефон заблокирован (например, после кражи или утери владельцем). Мошеннику достаточно ввести последовательность команд. После этого на номер поступает код, с помощью которого требуется подтвердить платёж. Мошенник просит Siri прочитать последнее полученное сообщение, а затем – отправить код на номер 900. Так ничего не подозревающий владелец устройства может лишиться денег с карты.

О том, что карты клиентов, пользующихся голосовыми помощниками для переводов, уязвимы, сообщили и в Альфа-Банке. На практике единственным ограничением для мошенников может служить сложность с СМС, которую необходимо отправить для подтверждения перевода.

Комментирует Дарья Верестникова, коммерческий директор компании SafeTech: «Интеграция Siri в мобильные приложения должна быть реализована с очень большой осторожностью. С помощью таких голосовых команд злоумышленник может не только узнать баланс счёта и список последних операций, но и осуществить кражу денежных средств. В частности, никогда нельзя забывать о таких факторах аутентификации пользователя, как «кто я есть» и «что я знаю». В то же время в Siri эти факторы отсутствуют абсолютно.

Однако фундаментальная проблема – это несоблюдение «общепринятых» для финансовой отрасли требований обеспечения безопасности при переводе денежных средств. Даже без использования Siri банки очень сильно пренебрегают защитой денежных переводов. Любое действие клиента в удаленных каналах должно подтверждаться электронной подписью, которая позволяет однозначно определить автора и содержание операции. Тем не менее большинство банковских DIGITAL-каналов не реализуют полноценную электронную подпись, и поэтому не обеспечивают требуемый уровень защиты. Конечно же, передовые банки используют технологии электронной подписи в мобильных приложениях, но чаще в отношении юридических лиц. Физические лица, к сожалению, по-прежнему под угрозой. Хотя технологически все средства на рынке уже давно существуют».

Верный способ обезопасить себя – не выпускать телефон из виду. Поскольку воплотить описанную выше схему в жизнь мошенник может, только если устройство будет у него. Если телефон украден или потерян, сразу блокируйте карты и счета, привязанные к номеру, а также само устройство. Если после этого пройдут переводы, которые сделали мошенники, будет больше шансов вернуть деньги, обратившись в банк.

Ещё один способ – отключить мобильный банк. В этом случае переводы через СМС будут недоступны.

Кардинальный метод – запретить доступ к голосовому ассистенту Siri в настройках iOS. Для этого в настройках отключите функцию на заблокированном экране. После этого Siri не будет отвечать на команды, пока смартфон заблокирован. При продолжительном нажатии клавиши Home вместо вызова ассистента iPhone будет требовать ввод пароля.