Os chatbots, recurso encontrado em diversos sites para facilitar interações automatizadas entre clientes e serviços, são um novo vetor que tem chamado a atenção de cibercriminosos devido aos potenciais lucros que essa ferramenta pode gerar.
“Os chatbots geralmente se apresentam por meio de uma janela de bate-papo no canto inferior da página virtual. Com essa ferramenta, as organizações podem proporcionar um assistente online inteligente, que ajuda o usuário a encontrar as informações que deseja por meio de respostas rápidas e precisas”, explica Ricardo Villadiego, vice-presidente de Segurança da Cyxtera.
O recurso, utilizado inicialmente como plataformas de comércio virtual, se expandiu para outros setores, como o bancário e o financeiro. “Em uma plataforma bancária online normal com um chatbot legítimo, a ferramenta pode pedir ao cliente em atendimento que forneça informações como número de conta, número de identidade e outras informações de identificação pessoal, que serão armazenadas pela empresa”, detalha Villadiego. O executivo alerta que esses dados podem trafegar na internet em formato de texto simples, correndo o risco de serem hackeados.
Segundo Villadiego, existem muitos tipos de código aberto disponíveis hoje em dia para ajudar as organizações a implantar janelas chatbot em suas páginas virtuais. A Cyxtera listou, abaixo, exemplos de chatbots que foram transformados em máquinas de fraude:
1) Cyber Torture
Com o Cyber Torture, os fraudadores atacam o próprio mecanismo de bate-papo, enviando perguntas complicadas ou inserindo comandos de consulta ao banco de dados para hackear o motor e acessar as informações de identificação pessoal armazenadas.
Chatbots desprotegidos podem responder a consultas SQL ou perguntas como “Quem é você?” de uma forma que permite que os atacantes descubram a arquitetura por trás da janela de bate-papo, dando-lhes acesso a informações privilegiadas, como números de conta, número de identidade, nome de usuário e combinações de senhas, que, por sua vez, podem ser usadas contra a organização e seus clientes.
2) Data Sniffing
Os chatbots têm acesso a informações privilegiadas, e os fraudadores querem ter acesso a esses dados sensíveis. Grampeando o canal de comunicação entre o chatbot e o usuário, exatamente como em um ataque man-in-the-middle, um invasor pode interceptar as mensagens e receber diretamente as informações de identificação pessoal fornecidas na conversa.
3) Falsificação de identidade
Muitos chatbots funcionam como aplicativos móveis, e os fraudadores estão inundando as app stores com programas falsos, que usam nomes de marcas legítimas, a mesma aparência e o mesmo look-and-feel, para oferecer mecanismos fraudulentos de tirar dos usuários informações sensíveis sem que eles se deem conta.
“O problema é agravado pela dificuldade que a maioria dos usuários têm de saber a diferença entre um chatbot bem intencionado em uma página legítima e um com fins maliciosos”, explica Villadiego. “Adware e injeções web ajudam os atacantes a criar sites e aplicativos convincentes e podem até permitir que eles exibam uma janela pop-up inesperada, com um chatbot falso, em um site legítimo”, completa.
De acordo com a empresa, porém, ao executar validações de entrada antes de implantar um chatbot, a empresa pode identificar e corrigir todas as vulnerabilidades relacionadas à inserção de comandos maliciosos na janela de bate-papo. “As informações capturadas pelo bot são de enorme valor, por isso, é melhor estabelecer controles rigorosos para impedir que pessoas não autorizadas obtenham acesso aos dados armazenados”, explica Villadiego.
Para o executivo, é fundamental que as instituições tenham uma estratégia de proteção de marca. “O monitoramento constante de áreas como tráfego de e-mails, lojas de aplicativos e websites pode detectar impostores que usam a marca contra seus clientes. O monitoramento de injeções de códigos maliciosos é igualmente importante para impedir que os usuários sejam vítimas de modificações não autorizadas do website”, finaliza.
