Банки запускают онлайн-банки в MAX — безопасны ли банковские боты?

В последнее время несколько банков объявило о создании удалённых сервисов для пользователей мессенджера MAX. 22 октября ПСБ объявил о запуске чат-бота для физических лиц, также о запуске различных финансовых сервисов сообщали ВТБ, ЮКасса и Альфа-банк.

Считаю важным поговорить о том, есть ли риски в использовании любых мессенджеров для получения банковских услуг.

Зачем банки создают сервисы дистанционного обслуживания в мессенджерах

Мессенджер МАХ не первый мессенджер, в рамках которого банки стали создавать сервисы для доступа к банковским услугам.

Ещё в 2023 году ВТБ и Альфа-банк запускали сервисы дистанционного обслуживания в Telegram, а после того, как банкам законодательно запретили оказывать услуги через зарубежные мессендежеры, они перенесли их в VK. Появление онлайн-банков, доступных через MAX, — это вполне логичный следующий шаг для этих банков.

Основная причина, по которой банкам важны такие сервисы — это способ заменить приложения банков, которые, из-за международных ограничений, были удалены из маркетплейсов Apple AppStore и Google Play. И, если в случае смартфонов Android, возможна установка приложений из иных источников (например, напрямую с сайта банка или иных маркетплейсов), то для iPhone такой возможности нет.

Мессенджеры, которыми люди пользуются ежедневно, становятся удобной заменой таким приложениям. Здесь можно реализовать практически полноценное банковское приложение, которое поддерживает все возможности.

Как работают разные виды банковских ботов в мессенджерах

Для создания своих банковских сервисов в мессенджерах банки используют программные интерфейсы, которые предоставляются разработчиками мессенджеров.

Существуют два подхода к созданию сервисов — создание чат-ботов и создание мини-приложений.

Как работают чат-боты в мессенджерах

Чат-боты, как следует из названия, работают в режиме чата. Пользователь отправляет боту сообщение и получает ответ от банка. Боты, как правило, для удобства пользователя поддерживают кнопки, либо какие-то специальные ссылки.

Главное, что нужно понимать пользователю, — все сообщения, которые отправляются такому боту, проходят через сервера мессенджера, также, как и остальные сообщения.

Когда вы отправляете сообщение, его получает сервер мессенджера, который перенаправляет его банковскому сервису. Когда банк отправляет ответ — он проходит тот же путь.

Любое промежуточное звено — это дополнительный риск. Поэтому для финансовых сервисов чаще создают не чат-боты, а мини-приложения.

Как работают мини-приложения в мессенджерах

Мини-приложение в мессенджере — это фактически специально подготовленная версия сайта, которая показывается внутри интерфейса мессенджера.

Обычно такие приложения используют стили и элементы управления мессенджера, поэтому они выглядят как его часть. Однако, в действительности, функция мессенджера сводится к тому, чтобы открыть окно и запустить в нём нужную страницу в интернете.

Работа с таким мини-приложением ничем не отличается о того, как если бы вы зашли в онлайн-банк с помощью обычного браузера, установленного на телефоне.

Серверы мессенджера не получают никакой информации о том, что вы делаете в мини-приложении, не видят информации об остатке средств и т.п.

Основные риски при использовании онлайн-банков в мессенджерах

Удобство и доступность онлайн-банков в мессенджерах сравнима с обычными приложениями банков. Однако, сам факт того, что финансовые операции осуществляются в мессенджере, создаёт новые риски, которые надо обязательно иметь в виду:

• Риск компрометации учётной записи мессенджера.

Если злоумышленник получит доступ к вашему мессенджеру (например, через клонированную SIM-карту или вредоносное ПО, перехватывающее SMS-сообщения), он увидит не только все ваши переписки, но и получит доступ в банковский бот.

Хорошо, если мессенджер для авторизации предусмотрел двухфакторную авторизацию. Но в мессенджер MAX она не реализована — для входа достаточно ввести код из SMS.

Банковские мини-приложения подтверждают вход с помощью SMS, но вот чат-боты, как правило, проводят авторизацию пользователя только один раз.

• Возможность появления фейковых ботов.

Технически бота для мессенджера может разработать любой желающий. Поэтому существуют риски, что чат-ботов будут создавать мошенники, для выманивания персональных данных или получения доступа к банковским сервисам.

Такой бот может полностью копировать интерфейс официального банковского сервиса, и пользователь даже не заподозрит ничего, пока не начнут пропадать деньги со счетов.

В мессенджере MAX это затрудено — возможность создавать боты есть только у юридических лиц. Но, в будущем, это может измениться.

• Риск доступа посторонних лиц к устройству.

Мессенджеры часто остаются «постоянно открытыми», уведомления выводятся на экран, а пользователи редко выходят из аккаунта. Если ваш телефон не защищён паролем, то получить доступ к мессенджеру сможет любой, в чьи руки попал телефон.

Соответственно, защита входа в мини-приложение с помощью SMS окажется недостаточно эффективной — тот, в чьих руках устройство, сможет точно также читать и сообщения.

• Риски утечки данных с серверов мессенджера.

Даже если мини-приложение работает напрямую с сервером банка, сам мессенджер может фиксировать факт использования определённых сервисов — время входа, IP-адрес и технические сведения. В случае чат-ботов информации больше — это вообще все сообщения между пользователем и банком.

Конечно, любой мессенджер стремится обеспечить безопасность своих пользователей, но потенциальная угроза утечек всё равно существует.

В целом, использовать подобные сервисы можно при соблюдении элементарной «цифровой гигиены»: включить блокировку экрана телефона, подключать двухфакторную авторизацию, использовать только официальных ботов.

Но, если есть возможность использовать «нормальное» приложение банка или интернет-банк, то без использования банковских сервисов в мессенджере можно обойтись. Независимо от того, каким мессенджером вы пользуетесь.