A utilização de chatbots está se tornando cada vez mais comum entre as organizações. Esta solução tem sido adotada para estabelecer uma relação mais próxima com os clientes, abrindo oportunidades e trazendo muitos benefícios, como mais agilidade no atendimento e maior assertividade. No entanto, os chatbots podem também representar grandes ameaças.
Muitos usuários conhecem os cuidados necessários com e-mails, mas isso não acontece quando se trata de redes sociais ou aplicativos de mensagens. Por esse motivo, a engenharia social – arte de explorar a confiança das pessoas para obter informações ou executar uma ação maliciosa em nome do atacante – pode ser aplicada também no contexto dos chatbots. Ações que auxiliam nesta identificação, como endereço de e-mail suspeito ou erros de escrita, não se aplicam quando se trata de redes sociais e aplicativos de mensagens. Neste sentido, os erros de digitação e palavras abreviadas por exemplo são considerados comuns.
Outra questão que deve ser levada em consideração é que a utilização de inteligência artificial requer que uma rede neural seja treinada. Sendo assim, é importante analisar de que forma o armazenamento dos dados vindos dos usuários do chatbot será realizado para serem utilizados para o treinamento, bem como estabelecer um controle de acesso a estas informações.
Como o desempenho do chatbot melhora a partir das interações com os usuários, existe a possibilidade de um atacante inserir dados para corromper a inteligência do chatbot, fazendo com que o mesmo compreenda como verdadeiro informações falsas prejudicando empresas e clientes. Um exemplo desse tipo de ataque ocorreu com a Tay, chatbot criado pela Microsoft para se passar por uma adolescente americana e que interagia com os usuários através do Twitter. Em menos de 24 horas, sua inteligência artificial foi corrompida, passando a postar mensagens ofensivas.
Ataques DoS, sigla para Denial of Service, visam deixar um recurso do sistema indisponível, impedindo que os usuários possam ter acesso. No contexto de chatbots, de acordo com o estudioso David Mann, é possível realizar um ataque DoS, demonstrado através da utilização de um metasploit (msf-fb-messenger-bot-dos), desenvolvido pelo autor. Segundo ele, a utilização desse metasploit é possível porque a API do Facebook Messenger, tem uma maneira de verificar que o Facebook está conectado com um chatbot, na qual as bibliotecas utilizadas não implementam segurança ou implementam de forma incorreta.
A utilização de chatbots está aumentando a cada dia e, como comentamos, existem diversas ameaças com relação à segurança da informação. Portanto, é importante conhecê-las tanto para orientação quanto para implementação de ações de prevenção de ataques, que muitas vezes podem causar danos irreparáveis.
No próximo post, vamos discutir um pouco mais sobre a utilização de chatbots para ataques de engenharia social.
Até a próxima!
Referências
- BI Intelligence. Messaging apps are now bigger than social networks. BI Intelligence.
- HUBER, Markus; KOWALSKI, Stewart; NOHLBERG, Marcus; TJOA, Simon. 2009. Towards Automating Social Engineering Using Social Networking Sites. Proceedings of the 2009 International Conference on Computational Science and Engineering – Volume 03 (CSE ’09), Vol. 3. IEEE Computer Society, Washington, DC, USA, 117-124.
- JAGATIC, Tom; JOHNSON, Nathaniel; JAKOBSSON, Markus; MENSZER, Filippo. Social Phishing. Indiana University, Bloomington. December 12, 2005
- MANN, David. How to kill a bot with 10 http requests. 2016.
- NUNES, Samantha. COMPUTAÇÃO COGNITIVA NO ÂMBITO CORPORATIVO: uma perspectiva em segurança da informação. December 2016