Как отказаться от голосового помощника сбербанка
Перейти к содержимому

Как отказаться от голосового помощника сбербанка

  • автор:

Как отказаться от голосового помощника сбербанка

11 декабря 2020

Белорусские банки фиксируют рост количества звонков клиентам со стороны мошенников. Для реализации мошеннической схемы выбираются мессенджеры, прежде всего Viber. Входящий звонок максимально закамуфлирован под звонок сотрудника банка: на аватарке может использоваться логотип банка (полностью или частично), а отображаемый телефонный номер звонящего может быть очень похож на телефон службы поддержки банка.

Расчет мошенников прежде всего на невнимательность собеседника на другом конце провода. Чтобы не попасться на психологические уловки нужно помнить:

сотрудники БПС-Сбербанка НИКОГДА НЕ ЗВОНЯТ клиентам в мессенджерах Viber, Telegram, WhatsApp и других.

Этот способ используют лица, которые хотят выманить у вас конфиденциальную информацию, чтобы впоследствии завладеть вашими денежными средствами!

Запомните каналы, которые БПС-Сбербанк использует для связи с клиентами:

  • телефонный звонок с номеров:
  • ТЕКСТОВЫЕ сообщения

в Viber от отправителя BPS-SBERBANK/BPSSBERBANK/БПС-СБЕРБАНК;

смс-сообщения от отправителя BPS-SBERBANK/BPSSBERBANK/БПС-СБЕРБАНК;

push-уведомления от отправителя BPS-SBERBANK/BPSSBERBANK/БПС-СБЕРБАНК.

Сообщения с адресом отправителя BPS-SBERBANK/BPSSBERBANK/БПС-СБЕРБАНК исключают возможность обратной связи (отправки ответа со стороны клиента), при этом содержат достоверную и проверенную информацию, включая ссылки на официальный сайт Банка, ссылки для скачивания мобильного приложения либо ссылки на прохождение опросов, а также информацию для пользователей продуктовой линейки и сервисов БПС-Сбербанка (например, в рамках услуги смс-оповещения и т.п.)!

Будьте предельно бдительны и осторожны!

Пользовательское соглашение об использовании сервиса Виртуальный ассистент

Настоящее пользовательское соглашение (далее – «Соглашение») устанавливает условия использования функций Виртуального ассистента и заключается между ПАО Сбербанк (далее – «Банк») и Пользователем.

1. Термины и определения

  1. Авторизация – процедура регистрации (ввода учетных данных) и аутентификации Пользователя на Сайтах, в Приложениях, Устройствах, поддерживающих функционал Сервиса. Авторизация на Сайтах, в Приложениях и Устройствах третьих лиц осуществляется при помощи сервиса «Сбербанк ID» 1 . На Сайтах и в Приложениях Банка Авторизация может осуществляться любым иным способом, установленным Банком.
  2. Банк — Публичное акционерное общество «Сбербанк России» (ОГРН 1027700132195; иные реквизиты — http://www.sberbank.ru/ru/about/today/requisites).
  3. Виртуальный ассистент/Сервис – услуга Банка по распознаванию и обработке голосовых и текстовых сообщений (в том числе команд), позволяющая Пользователю управлять частью функциональности Устройства, Приложения или Сайта, совершать фактические и юридические действия, получать информацию, пользоваться иными возможностями, предусмотренными настоящим Соглашением. Описание механизма функционирования Виртуального ассистента, информация о способах его активации и использования доступна на сайте в сети Интернет по адресу: https://salute.sber.ru/.
  4. Дуэт – функция Сервиса, позволяющая Пользователю совершать фактические и юридические действия при взаимодействии с третьими лицами: организация взаимодействия Пользователя и Исполнителя, в том числе заказ/бронирование услуг, предоставляемых Исполнителями, бронирование времени посещения организации Исполнителя для получения таких услуг.
  5. Исполнитель – юридическое лицо или индивидуальный предприниматель, оказывающие услуги Пользователю, категории которых определяются на основании данных, содержащихся в запросе или поручении Пользователя о бронировании или заказе услуги, переданных Пользователем через Виртуальный ассистент при использовании функции Дуэт.
  6. Использование Сервиса – любое действие и/или взаимодействие Пользователя с Сервисом, в том числе, заключающееся в совершении и направлении запросов, команд, использовании любых функций Сервиса, использовании необходимой Пользователю информации, полученной при взаимодействии с Сервисом.
  7. Контент – любая информация, представленная в текстовом, графическом, аудиовизуальном (видео) форматах, включая файлы данных, приложения, текст, программное обеспечение для мобильных устройств, музыку, аудиофайлы или иные звуковые файлы, фотографии, видео и иные изображения, являющиеся охраняемыми результатами интеллектуальной деятельности или не являющиеся таковыми.
  8. Пользователь – совершеннолетнее дееспособное физическое лицо, выразившее согласие с Соглашением и воспользовавшееся Виртуальным ассистентом.
  9. Поставщик – юридическое лицо или индивидуальный предприниматель, предоставляющие Пользователю товары, услуги, доступ к онлайн-сервисам, программам для ЭВМ, Контенту и возможность взаимодействия с Поставщиками и их программными продуктами с помощью Виртуального ассистента (перечень Поставщиков доступен на сайте в сети Интернет по адресу: https://sberdevices.ru/legal/partners).
  10. Приложение – любое мобильное приложение (программа для ЭВМ для мобильных устройств), интегрированное с Виртуальным ассистентом и поддерживающее функционал Виртуального ассистента.
  11. Продукты – товары, работы, услуги, программы для ЭВМ, Контент, предоставляемые Пользователям.
  12. Сайты – любой веб-сайт, представляющий собой совокупность размещенных в сети Интернет web-страниц, поддерживающий возможность осуществления поиска по нему, а также совершения Пользователем активных действий (подтверждение операций, управление командами и т.д.) с использованием Виртуального ассистента.
  13. СмартМаркет – онлайн-сервис, представляющий собой каталог программных продуктов и Смартапов, предоставляемый ООО «СалютДевайсы» (ОГРН 1197746592394, зарегистрированное по адресу: 121165, г. Москва, Кутузовский пр-т, д. 32, каб. 6.24).
  14. Смартап – программный продукт, в том числе, программы для ЭВМ, чаты, боты, игры, иной цифровой контент, поддерживающие интеграцию с Виртуальным ассистентом.
  15. Согласие – документ, содержащий согласие Пользователя на обработку его персональных данных.
  16. Устройство – любое устройство с возможностью выхода в Интернет, поддерживающее функционал взаимодействия с Виртуальным ассистентом.
  17. Любые выражения или термины, не определенные в Соглашении, за исключением случаев, когда из контекста Соглашения вытекает иное, имеют значение, которое придается им российским законодательством и/или правоприменительной практикой.

2. Предмет Соглашения

  1. Соглашение является юридически обязательным документом и регулирует отношения между Банком и Пользователем, возникающие в связи с Использованием Сервиса.
  2. Банк на условиях настоящего Соглашения предоставляет Пользователю возможность Использования Сервиса через Приложения, Сайты, Устройства с использованием сети Интернет посредством межпрограммного взаимодействия с функционалом программного обеспечения Банка, обеспечивающим функционирование Виртуального ассистента. Пользователь, в свою очередь, обязуется осуществлять Использование Сервиса исключительно в некоммерческих целях, то есть для личного использования в соответствии с настоящим Соглашением.
  3. Положения Соглашения не регулируют отношения, возникающие в связи с использованием системы «Сбербанк Онлайн», а также не определяют порядок и способы использования функционала Виртуального ассистента в мобильном приложении «Сбербанк Онлайн» и мобильном приложении «Сбер».

3. Общие условия

  1. Пользователю предоставляется возможность осуществлять Использование Сервиса посредством межпрограммного взаимодействия через Приложения, Сайты, Устройства.
  2. Выполнение функций Виртуального ассистента возможно только при наличии доступа к сети Интернет. Пользователь самостоятельно обеспечивает наличие такого доступа, получает и оплачивает такой доступ на условиях и по тарифам своего оператора связи или провайдера доступа к сети Интернет.
  3. Виртуальный ассистент, обрабатывая запросы Пользователя, переданные через Сервис, выполняет функции поиска и предоставления Пользователю запрашиваемой информации.
  4. Пользователю предоставляется возможность общения с Виртуальным ассистентом в режиме собеседника (ведения диалога). Ответы Виртуального ассистента в режиме ведения диалога формируются автоматически на основании машинного алгоритма через обработку запросов на сервере Банка и не являются профессиональными консультациями.
  5. В рамках Использования Сервиса Пользователю, прошедшему Авторизацию, может быть доступна функция Сервиса Дуэт, содействующая совершению фактических и юридических действий Пользователя при его взаимодействии с третьими лицами, которая по запросу и/или поручению Пользователя позволяет осуществлять: запись Пользователя к Исполнителю или заказ/бронирование услуги, бронирование времени посещения Пользователем Исполнителя для получения услуги, с передачей Исполнителю по его запросу данных Пользователя в целях заказа/бронирования услуги.
  6. По запросу Пользователя Дуэт осуществляет поиск Исполнителя в соответствии с данными и параметрами, заданными Пользователем в запросе Виртуальному ассистенту (поручением/заданием Пользователя), связывается с Исполнителем от имени Пользователя, позволяет Пользователю совершить фактические и юридические действия (запись Пользователя/бронирование услуги), информирует Пользователя о статусе заказа/бронирования услуги в интересах Пользователя. Информирование производится путем направления pushуведомлений либо сообщений на адрес электронной почты или номер мобильного телефона Пользователя.
  7. Действия, предусмотренные п. 3.5.1 Соглашения, считаются совершенными самим Пользователем посредством Использования Сервиса от его имени и за его счет. Все права и обязанности, возникающие в связи с (и/или в результате) Использованием Сервиса, при взаимодействии Пользователя с любыми третьими лицами (в том числе, Исполнителем) посредством и/или в результате Использования Сервиса возникают непосредственно у самого Пользователя. Дальнейшее взаимодействие с любыми Исполнителями, включая заключение договора, опосредующего гражданско-правовые отношения Пользователя и Исполнителя, предоставление и оплата услуг, осуществляются без использования Виртуального ассистента.
  8. Доступ к функции Дуэт предоставляется Пользователю при наличии технической возможности. Функция Дуэт может быть недоступна Пользователю при использовании отдельных Приложений, Сайтов, Устройств.
  9. С помощью Сервиса Пользователь может осуществлять управление Устройствами, а также совершать активные действия (в том числе, конклюдентные) через Устройства, в состав программного обеспечения которых включены функции Виртуального ассистента или управление которыми возможно при помощи команд, заданных Виртуальному ассистенту. Порядок активации подключаемых к Сервису Устройств определяется изготовителем Устройств. Банк не является участником отношений, связанных с производством, продажей, использованием, обеспечением работоспособности Устройств, управление которыми осуществляется при помощи Виртуального ассистента.
  10. Сервис позволяет Пользователю осуществлять взаимодействие с программным обеспечением (программными продуктами) третьих лиц и их функционалом (программами для ЭВМ, диалоговыми приложениями, ботами, чатами, в том числе Приложениями, Сайтами, Устройствами), которое (функционал которого) поддерживает интеграцию с Виртуальным ассистентом, а также предоставляет возможность взаимодействия с Поставщиками в целях использования или приобретения их Продуктов.
  11. Пользователь обязуется ознакомиться с условиями использования программных продуктов третьих лиц и условиями использования или приобретения Продуктов Поставщиков и принять их. Пользователь самостоятельно несет ответственность перед третьими лицами и Поставщиками за свои действия, связанные с использованием Виртуального ассистента, в том числе, если такие действия приведут к нарушению прав и законных интересов третьих лиц, а также за соблюдение законодательства при использовании Виртуального ассистента.
  12. Сервис предоставляет Пользователю возможность совершать юридически значимые действия и осуществлять управление некоторыми функциями Приложений, Устройств и Сайтов, в том числе, направленные на получение доступа к Контенту и/или приобретение Продуктов в Приложениях, на Сайтах, через Устройства, управление функционалом которых возможно при помощи команд, переданных Виртуальному ассистенту. Направление Пользователем команды с помощью Виртуального ассистента, связанное с заказом или приобретением Продуктов, или получением доступа к Контенту в сети Интернет может считаться совершением Пользователем конклюдентных действий, направленных на совершение сделки или выражение согласия Пользователя с условиями проведения конкретных операций (расчетных операций по приобретению Продуктов) в сети Интернет. Перечень голосовых команд, означающих подтверждение Пользователем конкретной операции или совершения фактического или юридического действия, указан по ссылке: https://www.sberbank.ru/ru/person/dist_services/inner_apps. Пользователь самостоятельно осуществляет контроль и проверку выполнения заданных команд.
  13. Посредством Виртуального ассистента Пользователь получает возможность взаимодействовать со СмартМаркетом, со Смартапами, доступными на СмартМаркете, в том числе заказывать и приобретать Продукты Поставщиков — владельцев Смартапов.

4. Ответственность Сторон

  1. Сервис предоставляется на условиях «как есть» (as is). Банк не несет ответственности за точность, релевантность, корректность информации, полученной Пользователем посредством Использования Сервиса. Банк не предоставляет никаких гарантий в отношении безошибочной и бесперебойной работы Виртуального ассистента или отдельных его функций, а также его соответствия конкретным целям и ожиданиям Пользователя.
  2. Ни при каких условиях Банк не несет ответственности перед Пользователем за убытки, включая любые прямые, косвенные, умышленные, случайные или последующие убытки любого характера проистекающие из данного Соглашения или из Использования Сервиса или невозможности осуществлять Использование Сервиса (включая, но, не ограничиваясь, убытками, возникшими в результате потери деловой репутации, прекращения работы, технического сбоя, аварии или неисправности или любых коммерческих убытков, издержек или потерь, а равно упущенной выгоды или неосновательного обогащения, а также убытки, вызванные конклюдентными действиями Пользователя, совершенными при помощи Сервиса / посредством Использования Сервиса, и/или в результате некорректной работы (функционирования) Сервиса) даже если Банку было известно или должно было быть известно о возможности таких убытков или Пользователь был предупрежден о возможности таких убытков.
  3. Банк предпринимает все разумные меры и осуществляет любые целесообразные действия, направленные на обеспечение конфиденциальности данных Пользователей и поддержания работоспособности Сервиса.
  4. Банк не несет ответственность за передачу Пользователем информации третьим лицам, а также, в случае, если информация Пользователя стала доступна третьим лицам вследствие их несанкционированного доступа к Устройству, или действий вирусного или вредоносного программного обеспечения на Устройстве.
  5. Банк не несет ответственности за невозможность Использования Сервиса.
  6. Банк оставляет за собой право предоставления функциональности Сервиса в ограниченном режиме. Пользователь уведомлен, что доступный Пользователю функционал Сервиса может быть ограничен в зависимости от Сайта, Приложения и Устройств.
  7. Соглашение не дает Пользователю никаких прав на использование охраняемых результатов интеллектуальной деятельности, за исключением прямо указанных в Соглашении.
  8. За неисполнение либо ненадлежащее исполнение обязательств, взятых на себя Пользователем по Соглашению, а также за нарушение условий Соглашения, Пользователь несет ответственность в соответствии с законодательством Российской Федерации.
  9. В случае нарушения условий данного Соглашения Банк вправе в одностороннем порядке расторгнуть настоящее Соглашение, а также приостановить или ограничить доступ Пользователя к Сервису.
  10. Банк не является участником (стороной) правоотношений, устанавливаемых между Пользователем и Поставщиком, Исполнителем, а также между Пользователем и любыми третьими лицами, с которыми Пользователь взаимодействует посредством Использования Сервиса. Любое Использование Сервиса для целей взаимодействия с третьими лицами Пользователь осуществляет самостоятельно на свой страх и риск. Банк не несёт ответственности за содержание и/или актуальность информации, предоставляемой Поставщиками, Исполнителями или иным третьими лицами, включая информацию о стоимости Продуктов, а также об их наличии.
  11. Банк не несет никакой ответственности за действия (в том числе, конклюдентные) Пользователей с Использованием Сервиса (посредством Использования Сервиса) или Продукты третьих лиц, которые Пользователь получает (и/или запрашивает доступ к ним) посредством Использования Сервиса. Все разногласия по вопросам предлагаемых третьими лицами Продуктов, в том числе претензии к их безопасности, законности и соответствия Продуктов ожиданиям и целям Пользователя решаются Пользователем самостоятельно без привлечения Банка. Банк не несет ответственности за неоказание или некорректное предоставление Продуктов Пользователю третьими лицами, либо за неполучение ожидаемых Пользователем результатов от использования Сервиса.
  12. Совершая действия при использовании Сервиса Пользователь самостоятельно несет ответственность за нарушение прав Банка или иных третьих лиц в соответствии с требованиями законодательства Российской Федерации.
  13. При заключении, исполнении, изменении и расторжении Соглашения Стороны принимают на себя обязательство не осуществлять действий, квалифицируемых применимым законодательством как «коррупция», а также иных действий (бездействия), нарушающих требования применимого законодательства, применимых норм международного права в области противодействия коррупции.
  14. Все действия с использованием Сервиса, совершенные с учетной записи Пользователя на Сайте или в конкретном Приложении, и/или с Устройства Пользователя и/или из любого программного обеспечения, установленного на Устройстве Пользователя, считаются совершенными лично Пользователем.
  15. Пользователю запрещено осуществлять (и/или предпринимать попытки) копирование, воспроизведение, переработку, распространение, доведение до всеобщего сведения, иное использование объектного/ исходного программного кода, отвечающего за функционирование Виртуального ассистента/его отдельных частей и компонентов, Контента, а также пытаться осуществить имитацию работы функций Виртуального ассистента, осуществлять Использование Сервиса для рекламы и продвижения товаров и услуг третьих лиц, а также любое иное Использование Сервиса в коммерческих целях.
  16. Обработка данных, получаемых Банком в связи с использованием Виртуального ассистента, осуществляется в соответствии с Политикой̆ конфиденциальности (https://salute.sber.ru/privacy_policy), Согласием на обработку персональных данных, если таковое было дано Пользователем, в соответствии с требованиями законодательства Российской Федерации о персональных данных.

5. Заключительные положения

  1. Совершая Авторизацию и/или начиная (или осуществляя) Использование Сервиса Пользователь тем самым совершает конклюдентные действия, выражающие полное и безоговорочное согласие Пользователя заключить настоящее Соглашение на условиях, изложенных в настоящем Соглашении (без каких-либо ограничений, исключений и/или изъятий условий Соглашения), что в силу ст. ст. 435 и 438 Гражданского кодекса РФ является принятием (акцептом) Пользователем оферты Банка. Настоящее Соглашение, заключаемое путем акцепта настоящей оферты, не требует оформления в бумажном виде, и признается Сторонами подписанным (заключенным) в письменном виде.
  2. Соглашение может изменяться Банком в одностороннем порядке. Пользователь, перед началом Использования Сервиса, обязуется ознакомиться с редакцией Соглашения, действующей на момент Использования Сервиса. Любые конклюдентные действия Пользователя (как это определено в п. 5.1 Соглашения), совершенные Пользователем после внесения Банком изменений в условия настоящего Соглашения и публикации новой/измененной версии Соглашения по ссылке:https://salute.sber.ru/salute_terms, являются согласием Пользователя с с изменением условий настоящего Соглашения в соответствии с новой/ измененной редакцией Банка, опубликованной по ссылке:https://salute.sber.ru/salute_terms(без каких-либо ограничений, исключений и/или изъятий условий Соглашения).
  3. Соответствующие изменения вступают в силу с даты их публикации, если иное не оговорено в соответствующей публикации.
  4. Настоящим Банк и Пользователь пришли к соглашению, что Банк имеет право:
  5. В любой момент в одностороннем внесудебном порядке отказаться от исполнения Соглашения (от исполнения Соглашения) предварительно уведомив Пользователя об этом посредством публикации соответствующего уведомления на странице в сети Интернет:https://salute.sber.ru. При этом Банк не возмещает какие-либо убытки Пользователя, вызванные Пользователя, вызванные таким односторонним отказом от Соглашения. Соглашение прекращает свое действие с момента публикации данного уведомления.
  6. Заблокировать Пользователю возможность осуществлять Использование Сервиса, если Пользователь не согласен с вносимыми изменениями и/или с новой редакцией Соглашения (в том числе, с каким-либо отдельным положением или с новой редакцией Соглашением в целом), или не имеет права на заключение данного Соглашения в силу закона, а Пользователь обязан незамедлительно прекратить любое Использование Сервиса.
  7. Пользователь, не осуществивший Авторизацию на Сайте, в Приложении, Устройстве, поддерживающих функционал Виртуального ассистента и не предоставивший Согласие (в случаях, когда для Использования отдельного функционала Сервиса требуется обработка персональных данных Пользователя и получение Согласия в соответствии с требованиями действующего законодательства) не может осуществлять Использование Сервиса в полном объеме его функциональных возможностей. Согласие может быть запрошено в любой момент Использования Сервиса через Приложения, Сайты или Устройства. Совершая Авторизацию, Пользователь подтверждает и заверяет, что является совершеннолетним дееспособным физическим лицом.
  8. Пользователь, не прошедший процедуру Авторизации, имеет доступ к ограниченному функционалу Виртуального ассистента, позволяющему осуществлять ограниченное Использование Сервиса и не предусматривающему предоставления персонализированных функций Сервиса, предоставление возможности использования функции Дуэт, возможности совершать юридические и фактические действия посредством Сервиса. Функционал Сервиса доступный Пользователю, непрошедшему Авторизацию, определяется исключительно по усмотрению Банка.
  9. Настоящим Банк заявляет, что законодательство Российской Федерации подлежит применению к правам и обязанностям Пользователя и Банка по Соглашению, вне зависимости от места нахождения Банка, Пользователя или Устройства Пользователя.
  10. Все споры, разногласия и претензии, которые могут возникнуть в связи с исполнением, расторжением или признанием недействительным Соглашения, Пользователь и Банк будут стремиться решить путем переговоров с соблюдением обязательного претензионного порядка. Срок для досудебного урегулирования претензий составляет 30 (тридцать) рабочих дней с момента получения соответствующей претензии. Однако если возникшие споры не представляется возможным решить путем переговоров, они будут разрешаться в судебном порядке в соответствии с законодательством Российской Федерации по месту нахождения Банка.
  11. Соглашение действует с момента совершения Пользователем конклюдентных действий (как это определено в п. 5.1 Соглашения), выражающих полное и безоговорочное согласие Пользователя заключить настоящее Соглашение.
  12. Соглашение прекращает свое действие по истечении трех лет с момента последней Авторизации Пользователя, если действие Соглашения не будет прекращено досрочно по иным основаниям, предусмотренным Соглашением.

1 Сервис «Сбербанк ID» предоставляется Банком в соответствии с Договором банковского обслуживания/ Договором на выпуск и обслуживание банковской карты/ Публичной офертой о предоставлении ПАО Сбербанк сервиса Сбербанк ID.

Голосовой помощник Сбербанка может подсказывать мошенникам

Информацию о состоянии счетов клиентов можно получить не только от инсайдера-банкира, который продает их на «черном рынке». «Пробить» данные можно с помощью полезных сервисов, вроде голосового помощника Сбербанка.

В редакцию Банки.ру обратился сотрудник оператора связи и рассказал, что обнаружил лазейку, которой могут пользоваться злоумышленники. Узнать баланс карты и последние операции жертвы можно с помощью голосового помощника Сбербанка — достаточно позвонить в банк от имени потенциального клиента-мишени.

«Пробиваем» данные без «слива»

«Здравствуйте, Ольга Александровна! Это Сбербанк, я ваш голосовой помощник. Я могу решить большинство ваших задач. Просто скажите, чем я могу вам помочь», — говорит услужливая виртуальная сотрудница Сбербанка. Я не Ольга Александровна, но, произнеся слово «баланс», узнаю, что на карте хранится больше 40 тыс. рублей, а после требования «последние операции» — список из последних трансакций своей родственницы. Хотя звонок шел не с телефона клиентки, суммы называются с точностью до копейки и совпадают со свежей выпиской по счету. На этом демонстрационная часть эксперимента заканчивается, и мой собеседник переходит к объяснениям, как такое возможно.

«Мы расследовали подозрительный инцидент на нашей сети и наткнулись на то, что человек хотел через нас это делать, пресекли, а потом додумали», — рассказывает сотрудник компании, которая оказывает услуги телефонии. По его словам, мошенники нередко пользуются «облачными АТС», чтобы подменять номер телефона и звонить своим жертвам, выдавая себя за партнеров по бизнесу, поставщиков или сотрудников банков. Обзвон банковских клиентов особенно популярен — в январе «Коммерсант» сообщал о всплеске случаев такого мошенничества. Чаще всего жертвами становились клиенты Сбербанка, который лидирует в России по количеству эмитированных карт. Последние истории про взломы могут объясняться в том числе уязвимостями дистанционных сервисов Сбербанка, утверждает собеседник Банки.ру.

Мошенник с помощью специальных программ может совершить звонок на один из номеров Сбербанка — он пойдет с телефона злоумышленника, но в кредитную организацию поступит как будто бы с номера жертвы. В этом случае включается голосовой помощник Сбербанка. Сервис называет человека по имени и отчеству и обещает выполнить команды после авторизации. Для этого бывает достаточно назвать последние цифры карты клиента. Заранее «пробив» окончание номера карты, злоумышленник с помощью голосового помощника может узнать баланс карты и последние пять операций по счету человека. Наличие подобного багажа существенно упрощает «обработку» жертвы методами социальной инженерии. Последние схемы мошенничества, описанные в СМИ, как раз предполагали, что злоумышленник для убедительности рассказывает клиенту о состоянии счета и трансакциях. Во многих случаях человек сам по незнанию переводил деньги мошенникам или компрометировал карту.

IT-специалист показал, как работает схема, на примере трех карт Сбербанка, принадлежащих разным клиентам. Только в одном случае голосовой помощник для авторизации попросил назвать не последние цифры карты, а код клиента — это была моментальная карта, выпущенная накануне.

Уязвимость или нет?

В Сбербанке отказались комментировать ситуацию. Там также не ответили, какая доля держателей карт может идентифицироваться в голосовом помощнике только по личному коду. Таким образом, нельзя точно оценить, сколько клиентов кредитной организации можно считать более уязвимыми перед подобным мошенничеством. Зампред Сбербанка Станислав Кузнецов заявил, что специалисты кредитной организации знают о том, что идентификация по последним цифрам карты может нести риски для пользователей сервиса. «Мы внимательно следим за подобного рода рисками и видим, что здесь есть определенного рода риски не то что утечки информации, а получение сведений об остатках карты. В настоящее время идет глубокий анализ, как ужесточить эту ситуацию для того, чтобы иметь большую защищенность на стороне клиента», — сказал Кузнецов на пресс-конференции во время Международного конгресса по кибербезопасности, организованном Сбербанком.

Идентификация в сервисах ДБО по последним цифрам карты категорически небезопасна, считает руководитель группы анализа защищенности Solar JSOC «Ростелеком-Солар» Александр Колесов. По его словам, у мошенников есть несколько путей достать такую информацию. «Самый простой способ — получить слип (документ об оплате покупки банковской картой), где обычно указано и имя владельца, и последние цифры карты. Люди редко отдают себе отчет в том, что эти данные могут представлять ценность, и не проявляют никакой осторожности при обращении с ними. Последние цифры карты также можно узнать, сделав потенциальной жертве копеечный перевод по номеру телефона. Наконец, данные карт и привязанные к ним номера телефонов массово и довольно недорого продаются на специализированных форумах в Даркнете», — перечисляет эксперт. Он, впрочем, считает, что в случае с голосовым помощником Сбербанка происходит не идентификация для сервиса ДБО, а идентификация для звонка в техподдержку.

Так или иначе, схема позволяет узнать чувствительную информацию, и это опасно, говорит технический директор Qrator Labs Артем Гавриченков. «Это неприемлемая ситуация, поскольку данные об операциях, равно как и данные о балансе счета, — это информация сугубо конфиденциальная. Фактически любой человек, имеющий доступ к минимальному и достаточно простому инструментарию для подделки номеров мобильных телефонов, имеет возможность следить за финансовыми операциями тех, чьи номера телефонов ему известны. Если там не поставлено ограничений по частоте звонков, конечно», — отмечает эксперт. Он подчеркивает, что такой способ сбора данных о клиентах может применяться широко — все процессы из этой цепочки легко автоматизируются.

Цифры не в пользу клиентов

Согласно исследованию Positive Technologies, в I квартале 2019 года 54% кибератак совершались с целью получения информации. Платежные карты продолжают сохранять ценность для хакеров и мошенников — на них приходится 16% всех украденных данных. Более ранние исследования IT-компании показали серьезные уязвимости финансовых приложений и сервисов. Так, в 2017 году 56% финансовых приложений содержали уязвимости высокого уровня риска. Например, позволяли получать доступ к сведениям, составляющим банковскую тайну клиентов. Тогда же в 48% мобильных банков была выявлена хотя бы одна критически опасная уязвимость. Более половины финансовых клиентских приложений (65%) имели недостатки, связанные с небезопасным хранением данных или недостаточной защитой процесса аутентификации пользователя. Уровень защищенности сервисов растет, но еще не может считаться достаточно высоким, признают IT-специалисты. Это связано как с изобретательностью мошенников, так и с уступками, на которые вынуждены идти банки.

«Банки активно пытаются идти навстречу пользователям, внедрять новые вещи, иногда, к сожалению, они не согласовываются с отделом безопасности. Иногда это происходит намеренно: условно говоря, отдел развития продуктов и дополнительных сервисов, получив отказ от отдела безопасности три раза, на четвертый раз постарается их обойти, — объясняет Гавриченков. — Мы не говорим, что это произошло в конкретном случае, но сплошь и рядом бывают такие ситуации, когда при внедрении инновационных технологий, таких как распознавание речи, активно «срезаются углы», в том числе страдает безопасность. У ряда организаций внедрение таких инноваций просто стоит у менеджеров в KPI».

Риск использования банковской информации для мошенничества считается высоким. По данным самого Сбербанка, социальная инженерия остается основным методом хищения денег у частных лиц. В 2018 году в России 80% атак на клиентов банков совершались с ее помощью. В 79% случаев жертвы поддаются на уловки и переводят деньги злоумышленникам, говорится в обзоре Treat Zone’19.

Мошенничество с помощью методов социальной инженерии практически не оставляет клиентам шансов вернуть деньги на свой банковский счет. Если человек сам совершает операцию или разглашает данные, которые позволяют ее провести, карта считается скомпрометированной. В этом случае кредитные организации не несут ответственности за пропажу средств — подобный пункт считается стандартным для банковских договоров.

Согласно пользовательскому соглашению, приложение «Сбербанк Онлайн» предоставляется клиентам as is («как есть»). Банк не несет ответственности практически за любые убытки, полученные при использовании сервиса, «даже если банку было известно о возможности такого ущерба».

Это распространенная формулировка, отмечает партнер юридического бюро «Замоскворечье» Дмитрий Шевченко. «Уведомляя о том, что голосовой помощник является лишь техническим средством, не обладающим сознанием и психикой, банк фактически заявляет о том, что понятие «вины» к ситуациям использования этого помощника юридически не применимо», — поясняет юрист. Он сомневается, что в таких спорах пострадавший клиент сможет доказать, что получил ущерб именно из-за уязвимостей голосового помощника или мобильного.

Против взлома только плохие приемы

«Если в банке применяется биометрическая идентификация по голосу, то такая атака будет бессмысленной», — говорит Колесов, отвечая на вопрос о том, могут ли мошенники пользоваться уязвимостями голосового помощника Сбербанка. Пока этот сервис не предусматривает распознавания клиента по голосу. Сбербанк работает в другом направлении, пояснил зампред кредитной организации Станислав Кузнецов.

«Одновременно с другими методами, дополнительными, на стороне распознавания голоса, изучения попыток со стороны мошенников, мы дополнительный комплекс мер приняли, чтобы хеджировать этот риск на уровне наших систем, когда мы понимаем, что с большой вероятностью мошенник запрашивает эти данные», — сказал топ-менеджер. Он уточнил, что речь идет о сборе образцов голосов злоумышленников.

Такой подход может использоваться как один из инструментов борьбы с рецидивистами, соглашается Артем Гавриченков. Эксперт, впрочем, сомневается, что это легко сделать. «Я не уверен, что это настолько простая история с точки зрения законодательства, поскольку на это тоже распространяются нормы о хранении и обработке персональных данных. Закона, который бы позволял собирать биометрическую информацию о злоумышленниках без их ведома и передавать их коммерческим банкам, я не припомню», — говорит технический директор Qrator Labs.

Обратный механизм защиты — сравнивать голос клиента с ранее сданным образцом — тоже не безупречен. Есть риск, что под видом телефонного опроса злоумышленник попросит человека озвучить нужный набор фраз и цифр и уже потом использует отпечаток голоса.

Пока что лучшее, что тут придумано с точки зрения безопасности, — это кодовое слово, считает Гавриченков. Но главный недостаток этого подхода — риск, что клиент просто забудет код. Варианты с СМС-подтверждением или уточнением других данных специалисты по информационной безопасности тоже не считают идеальными. «Тут вообще хороших решений нет. Есть плохие и «так себе», — резюмирует один из собеседников Банки.ру.

Юлия КОШКИНА, Banki.ru

Статья носит информационный характер и публикуется с целью предупреждения случаев мошенничества в финансовой сфере.

Голосовой помощник Сбербанка может подсказывать мошенникам

Юлия Кошкина, корреспондент в Банки.ру до 2020 года

Информацию о состоянии счетов клиентов можно получить не только от инсайдера-банкира, который продает их на «черном рынке». «Пробить» данные можно с помощью полезных сервисов, вроде голосового помощника Сбербанка.

В редакцию Банки.ру обратился сотрудник оператора связи и рассказал, что обнаружил лазейку, которой могут пользоваться злоумышленники. Узнать баланс карты и последние операции жертвы можно с помощью голосового помощника Сбербанка — достаточно позвонить в банк от имени потенциального клиента-мишени.

«Пробиваем» данные без «слива»

«Здравствуйте, Ольга Александровна! Это Сбербанк, я ваш голосовой помощник. Я могу решить большинство ваших задач. Просто скажите, чем я могу вам помочь», — говорит услужливая виртуальная сотрудница Сбербанка. Я не Ольга Александровна, но, произнеся слово «баланс», узнаю, что на карте хранится больше 40 тыс. рублей, а после требования «последние операции» — список из последних трансакций своей родственницы. Хотя звонок шел не с телефона клиентки, суммы называются с точностью до копейки и совпадают со свежей выпиской по счету. На этом демонстрационная часть эксперимента заканчивается, и мой собеседник переходит к объяснениям, как такое возможно.

«Мы расследовали подозрительный инцидент на нашей сети и наткнулись на то, что человек хотел через нас это делать, пресекли, а потом додумали», — рассказывает сотрудник компании, которая оказывает услуги телефонии. По его словам, мошенники нередко пользуются «облачными АТС», чтобы подменять номер телефона и звонить своим жертвам, выдавая себя за партнеров по бизнесу, поставщиков или сотрудников банков. Обзвон банковских клиентов особенно популярен — в январе «Коммерсант» сообщал о всплеске случаев такого мошенничества. Чаще всего жертвами становились клиенты Сбербанка, который лидирует в России по количеству эмитированных карт. Последние истории про взломы могут объясняться в том числе уязвимостями дистанционных сервисов Сбербанка, утверждает собеседник Банки.ру.

Мошенник с помощью специальных программ может совершить звонок на один из номеров Сбербанка — он пойдет с телефона злоумышленника, но в кредитную организацию поступит как будто бы с номера жертвы. В этом случае включается голосовой помощник Сбербанка. Сервис называет человека по имени и отчеству и обещает выполнить команды после авторизации. Для этого бывает достаточно назвать последние цифры карты клиента. Заранее «пробив» окончание номера карты, злоумышленник с помощью голосового помощника может узнать баланс карты и последние пять операций по счету человека. Наличие подобного багажа существенно упрощает «обработку» жертвы методами социальной инженерии. Последние схемы мошенничества, описанные в СМИ, как раз предполагали, что злоумышленник для убедительности рассказывает клиенту о состоянии счета и трансакциях. Во многих случаях человек сам по незнанию переводил деньги мошенникам или компрометировал карту.

IT-специалист показал, как работает схема, на примере трех карт Сбербанка, принадлежащих разным клиентам. Только в одном случае голосовой помощник для авторизации попросил назвать не последние цифры карты, а код клиента — это была моментальная карта, выпущенная накануне.

Уязвимость или нет?

В Сбербанке отказались комментировать ситуацию. Там также не ответили, какая доля держателей карт может идентифицироваться в голосовом помощнике только по личному коду. Таким образом, нельзя точно оценить, сколько клиентов кредитной организации можно считать более уязвимыми перед подобным мошенничеством. Зампред Сбербанка Станислав Кузнецов заявил, что специалисты кредитной организации знают о том, что идентификация по последним цифрам карты может нести риски для пользователей сервиса. «Мы внимательно следим за подобного рода рисками и видим, что здесь есть определенного рода риски не то что утечки информации, а получение сведений об остатках карты. В настоящее время идет глубокий анализ, как ужесточить эту ситуацию для того, чтобы иметь большую защищенность на стороне клиента», — сказал Кузнецов на пресс-конференции во время Международного конгресса по кибербезопасности, организованном Сбербанком.

Идентификация в сервисах ДБО по последним цифрам карты категорически небезопасна, считает руководитель группы анализа защищенности Solar JSOC «Ростелеком-Солар» Александр Колесов. По его словам, у мошенников есть несколько путей достать такую информацию. «Самый простой способ — получить слип (документ об оплате покупки банковской картой), где обычно указано и имя владельца, и последние цифры карты. Люди редко отдают себе отчет в том, что эти данные могут представлять ценность, и не проявляют никакой осторожности при обращении с ними. Последние цифры карты также можно узнать, сделав потенциальной жертве копеечный перевод по номеру телефона. Наконец, данные карт и привязанные к ним номера телефонов массово и довольно недорого продаются на специализированных форумах в Даркнете», — перечисляет эксперт. Он, впрочем, считает, что в случае с голосовым помощником Сбербанка происходит не идентификация для сервиса ДБО, а идентификация для звонка в техподдержку.

Так или иначе, схема позволяет узнать чувствительную информацию, и это опасно, говорит технический директор Qrator Labs Артем Гавриченков. «Это неприемлемая ситуация, поскольку данные об операциях, равно как и данные о балансе счета, — это информация сугубо конфиденциальная. Фактически любой человек, имеющий доступ к минимальному и достаточно простому инструментарию для подделки номеров мобильных телефонов, имеет возможность следить за финансовыми операциями тех, чьи номера телефонов ему известны. Если там не поставлено ограничений по частоте звонков, конечно», — отмечает эксперт. Он подчеркивает, что такой способ сбора данных о клиентах может применяться широко — все процессы из этой цепочки легко автоматизируются.

Цифры не в пользу клиентов

Согласно исследованию Positive Technologies, в I квартале 2019 года 54% кибератак совершались с целью получения информации. Платежные карты продолжают сохранять ценность для хакеров и мошенников — на них приходится 16% всех украденных данных. Более ранние исследования IT-компании показали серьезные уязвимости финансовых приложений и сервисов. Так, в 2017 году 56% финансовых приложений содержали уязвимости высокого уровня риска. Например, позволяли получать доступ к сведениям, составляющим банковскую тайну клиентов. Тогда же в 48% мобильных банков была выявлена хотя бы одна критически опасная уязвимость. Более половины финансовых клиентских приложений (65%) имели недостатки, связанные с небезопасным хранением данных или недостаточной защитой процесса аутентификации пользователя. Уровень защищенности сервисов растет, но еще не может считаться достаточно высоким, признают IT-специалисты. Это связано как с изобретательностью мошенников, так и с уступками, на которые вынуждены идти банки.

«Банки активно пытаются идти навстречу пользователям, внедрять новые вещи, иногда, к сожалению, они не согласовываются с отделом безопасности. Иногда это происходит намеренно: условно говоря, отдел развития продуктов и дополнительных сервисов, получив отказ от отдела безопасности три раза, на четвертый раз постарается их обойти, — объясняет Гавриченков. — Мы не говорим, что это произошло в конкретном случае, но сплошь и рядом бывают такие ситуации, когда при внедрении инновационных технологий, таких как распознавание речи, активно «срезаются углы», в том числе страдает безопасность. У ряда организаций внедрение таких инноваций просто стоит у менеджеров в KPI».

Риск использования банковской информации для мошенничества считается высоким. По данным самого Сбербанка, социальная инженерия остается основным методом хищения денег у частных лиц. В 2018 году в России 80% атак на клиентов банков совершались с ее помощью. В 79% случаев жертвы поддаются на уловки и переводят деньги злоумышленникам, говорится в обзоре Treat Zone’19.

Правовые риски

Мошенничество с помощью методов социальной инженерии практически не оставляет клиентам шансов вернуть деньги на свой банковский счет. Если человек сам совершает операцию или разглашает данные, которые позволяют ее провести, карта считается скомпрометированной. В этом случае кредитные организации не несут ответственности за пропажу средств — подобный пункт считается стандартным для банковских договоров.

Согласно пользовательскому соглашению, приложение «Сбербанк Онлайн» предоставляется клиентам as is («как есть»). Банк не несет ответственности практически за любые убытки, полученные при использовании сервиса, «даже если банку было известно о возможности такого ущерба».

Это распространенная формулировка, отмечает партнер юридического бюро «Замоскворечье» Дмитрий Шевченко. «Уведомляя о том, что голосовой помощник является лишь техническим средством, не обладающим сознанием и психикой, банк фактически заявляет о том, что понятие «вины» к ситуациям использования этого помощника юридически не применимо», — поясняет юрист. Он сомневается, что в таких спорах пострадавший клиент сможет доказать, что получил ущерб именно из-за уязвимостей голосового помощника или мобильного.

Против взлома только плохие приемы

«Если в банке применяется биометрическая идентификация по голосу, то такая атака будет бессмысленной», — говорит Колесов, отвечая на вопрос о том, могут ли мошенники пользоваться уязвимостями голосового помощника Сбербанка. Пока этот сервис не предусматривает распознавания клиента по голосу. Сбербанк работает в другом направлении, пояснил зампред кредитной организации Станислав Кузнецов.

«Одновременно с другими методами, дополнительными, на стороне распознавания голоса, изучения попыток со стороны мошенников, мы дополнительный комплекс мер приняли, чтобы хеджировать этот риск на уровне наших систем, когда мы понимаем, что с большой вероятностью мошенник запрашивает эти данные», — сказал топ-менеджер. Он уточнил, что речь идет о сборе образцов голосов злоумышленников.

Такой подход может использоваться как один из инструментов борьбы с рецидивистами, соглашается Артем Гавриченков. Эксперт, впрочем, сомневается, что это легко сделать. «Я не уверен, что это настолько простая история с точки зрения законодательства, поскольку на это тоже распространяются нормы о хранении и обработке персональных данных. Закона, который бы позволял собирать биометрическую информацию о злоумышленниках без их ведома и передавать их коммерческим банкам, я не припомню», — говорит технический директор Qrator Labs.

Обратный механизм защиты — сравнивать голос клиента с ранее сданным образцом — тоже не безупречен. Есть риск, что под видом телефонного опроса злоумышленник попросит человека озвучить нужный набор фраз и цифр и уже потом использует отпечаток голоса.

Пока что лучшее, что тут придумано с точки зрения безопасности, — это кодовое слово, считает Гавриченков. Но главный недостаток этого подхода — риск, что клиент просто забудет код. Варианты с СМС-подтверждением или уточнением других данных специалисты по информационной безопасности тоже не считают идеальными. «Тут вообще хороших решений нет. Есть плохие и «так себе», — резюмирует один из собеседников Банки.ру.

Юлия КОШКИНА, Banki.ru

Статья носит информационный характер и публикуется с целью предупреждения случаев мошенничества в финансовой сфере.

\n \n\t\t\t \n\t\t\t \n\t\t \n\t»,»content»:»\t\t

\n\t\t\t\u0412\u044b \u043d\u0435 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043d\u044b \u043d\u0430 \u0441\u0430\u0439\u0442\u0435.\n\t\t \n\t\t

\n\t\t\t \n\t\t\t\t\u0412\u043e\u0439\u0434\u0438\u0442\u0435\n\t\t\t \n\t\t\t\u0438\u043b\u0438\n\t\t\t \n\t\t\t\t\u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u0443\u0439\u0442\u0435\u0441\u044c.\n\t\t\t \n\t\t \n\t»>’ >

Похожие публикации:
  1. Как найти копилку в приват 24
  2. Как получить полис дмс физическому лицу цена
  3. Как удалить шаблон в приват 24 мои платежи
  4. Что решили с мрот

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *