Cresce número de fraudes em chatbots
Cyxtera lista três exemplos de ataques cometidos por cibercriminosos 02/10/2018 12:01
» Ricardo Villadiego
Os chatbots começam a ser um novo vetor que tem chamado a atenção de cibercriminosos devido aos potenciais lucros que essa ferramenta pode gerar. A constatação é da Cyxtera, provedora de segurança digital. Isso porque o recurso, utilizado inicialmente em plataformas de comércio virtual, se expandiu para outros setores, como o bancário e o financeiro. "Em uma plataforma bancária online normal com um chatbot legítimo, a ferramenta pode pedir ao cliente em atendimento que forneça informações como número de conta, número de identidade e outras informações de identificação pessoal, que serão armazenadas pela empresa", detalha Ricardo Villadiego, vice-presidente de Segurança da empresa. O executivo alerta que esses dados podem trafegar na internet em formato de texto simples, correndo o risco de serem hackeados. Segundo o executivo, existem muitos tipos de código aberto disponíveis hoje em dia para ajudar as organizações a implantar janelas chatbot em suas páginas virtuais. A Cyxtera listou, abaixo, exemplos de chatbots que foram transformados em máquinas de fraude:

1) Cyber Torture
Com o Cyber Torture, os fraudadores atacam o próprio mecanismo de bate-papo, enviando perguntas complicadas ou inserindo comandos de consulta ao banco de dados para hackear o motor e acessar as informações de identificação pessoal armazenadas. Chatbots desprotegidos podem responder a consultas SQL ou perguntas como "Quem é você?" de uma forma que permite que os atacantes descubram a arquitetura por trás da janela de bate-papo, dando-lhes acesso a informações privilegiadas, como números de conta, número de identidade, nome de usuário e combinações de senhas, que, por sua vez, podem ser usadas contra a organização e seus clientes.

2) Data Sniffing
Os chatbots têm acesso a informações privilegiadas, e os fraudadores querem ter acesso a esses dados sensíveis. Grampeando o canal de comunicação entre o chatbot e o usuário, exatamente como em um ataque man-in-the-middle, um invasor pode interceptar as mensagens e receber diretamente as informações de identificação pessoal fornecidas na conversa.

3) Falsificação de identidade
Muitos chatbots funcionam como aplicativos móveis, e os fraudadores estão inundando as app stores com programas falsos, que usam nomes de marcas legítimas, a mesma aparência e o mesmo look-and-feel, para oferecer mecanismos fraudulentos de tirar dos usuários informações sensíveis sem que eles se deem conta. "O problema é agravado pela dificuldade que a maioria dos usuários têm de saber a diferença entre um chatbot bem intencionado em uma página legítima e um com fins maliciosos", explica Villadiego. "Adware e injeções web ajudam os atacantes a criar sites e aplicativos convincentes e podem até permitir que eles exibam uma janela pop-up inesperada, com um chatbot falso, em um site legítimo", completa.

De acordo com a Cyxtera, porém, ao executar validações de entrada antes de implantar um chatbot, a empresa pode identificar e corrigir todas as vulnerabilidades relacionadas à inserção de comandos maliciosos na janela de bate-papo. "As informações capturadas pelo bot são de enorme valor, por isso, é melhor estabelecer controles rigorosos para impedir que pessoas não autorizadas obtenham acesso aos dados armazenados", explica Villadiego. Para o executivo, é fundamental que as instituições tenham uma estratégia de proteção de marca. "O monitoramento constante de áreas como tráfego de e-mails, lojas de aplicativos e websites pode detectar impostores que usam a marca contra seus clientes. O monitoramento de injeções de códigos maliciosos é igualmente importante para impedir que os usuários sejam vítimas de modificações não autorizadas do website", finaliza.

Compartilhe

Twitter Facebook Linkedin

Palavras mais procuradas

TELEPERFORMANCE  AVAYA  ALMAVIVA  PROVIDER  NICE  CONTAX  TELLUS  TIVIT  SITEL  VAGAS  VIKSTAR  URANET  ATENTO  VIDAX  CALL CENTER  CSU  CALLINK  AEC  RANKING  TMKT 
 
https://www.callcenter.inf.br/