Os chatbots começam a ser um novo vetor que tem chamado a atenção de cibercriminosos devido aos potenciais lucros que essa ferramenta pode gerar. A constatação é da Cyxtera, provedora de segurança digital. Isso porque o recurso, utilizado inicialmente em plataformas de comércio virtual, se expandiu para outros setores, como o bancário e o financeiro. “Em uma plataforma bancária online normal com um chatbot legítimo, a ferramenta pode pedir ao cliente em atendimento que forneça informações como número de conta, número de identidade e outras informações de identificação pessoal, que serão armazenadas pela empresa”, detalha Ricardo Villadiego, vice-presidente de Segurança da empresa. O executivo alerta que esses dados podem trafegar na internet em formato de texto simples, correndo o risco de serem hackeados. Segundo o executivo, existem muitos tipos de código aberto disponíveis hoje em dia para ajudar as organizações a implantar janelas chatbot em suas páginas virtuais. A Cyxtera listou, abaixo, exemplos de chatbots que foram transformados em máquinas de fraude:
1) Cyber Torture
Com o Cyber Torture, os fraudadores atacam o próprio mecanismo de bate-papo, enviando perguntas complicadas ou inserindo comandos de consulta ao banco de dados para hackear o motor e acessar as informações de identificação pessoal armazenadas. Chatbots desprotegidos podem responder a consultas SQL ou perguntas como “Quem é você?” de uma forma que permite que os atacantes descubram a arquitetura por trás da janela de bate-papo, dando-lhes acesso a informações privilegiadas, como números de conta, número de identidade, nome de usuário e combinações de senhas, que, por sua vez, podem ser usadas contra a organização e seus clientes.
2) Data Sniffing
Os chatbots têm acesso a informações privilegiadas, e os fraudadores querem ter acesso a esses dados sensíveis. Grampeando o canal de comunicação entre o chatbot e o usuário, exatamente como em um ataque man-in-the-middle, um invasor pode interceptar as mensagens e receber diretamente as informações de identificação pessoal fornecidas na conversa.
3) Falsificação de identidade
Muitos chatbots funcionam como aplicativos móveis, e os fraudadores estão inundando as app stores com programas falsos, que usam nomes de marcas legítimas, a mesma aparência e o mesmo look-and-feel, para oferecer mecanismos fraudulentos de tirar dos usuários informações sensíveis sem que eles se deem conta. “O problema é agravado pela dificuldade que a maioria dos usuários têm de saber a diferença entre um chatbot bem intencionado em uma página legítima e um com fins maliciosos”, explica Villadiego. “Adware e injeções web ajudam os atacantes a criar sites e aplicativos convincentes e podem até permitir que eles exibam uma janela pop-up inesperada, com um chatbot falso, em um site legítimo”, completa.
De acordo com a Cyxtera, porém, ao executar validações de entrada antes de implantar um chatbot, a empresa pode identificar e corrigir todas as vulnerabilidades relacionadas à inserção de comandos maliciosos na janela de bate-papo. “As informações capturadas pelo bot são de enorme valor, por isso, é melhor estabelecer controles rigorosos para impedir que pessoas não autorizadas obtenham acesso aos dados armazenados”, explica Villadiego. Para o executivo, é fundamental que as instituições tenham uma estratégia de proteção de marca. “O monitoramento constante de áreas como tráfego de e-mails, lojas de aplicativos e websites pode detectar impostores que usam a marca contra seus clientes. O monitoramento de injeções de códigos maliciosos é igualmente importante para impedir que os usuários sejam vítimas de modificações não autorizadas do website”, finaliza.