Хакеры полюбили чат-ботов

Киберпреступники стали использовать живые чаты и ботов-помощников, чтобы похищать важные данные компаний и их клиентов. Как не подцепить вирус и защитить свой бизнес?

Сегодня живые чаты и помощники-боты стали популярным инструментом для коммуникации бизнеса и клиентов. К сожалению, простота и удобство привлекают не только бизнес, но и злоумышленников. Преступники используют их для фишинга и распространения вредоносного ПО. В этом году сотни клиентов банка IMB пострадали от вредоносного вложения, которое попало пользователям через окно живого чата на сайте одного из крупнейших в Великобритании сервисов по продаже билетов на мероприятия Ticketmaster UK. Из-за возможных рисков с компрометацией банковских карт финансовая организация приняла решение попросить часть своих клиентов приостановить использование карт. Точный масштаб трагедии трудно оценить, но доподлинно известно, что вредоносный контент присутствовал на сайте незамеченным в течение пяти месяцев.

Чат-платформы, а также отдельные боты, которые могут быть созданы в Telegram, Facebook или Slack, интересны бизнесу для общения с клиентом. По данным Oracle, 80% компаний уже создали ботов или планируют их использовать к 2020 году. По данным Facebook, с января 2017 года по январь 2018-го активность переписок с помощью чат-ботов возросла больше чем в пять раз.

Такая статистика на руку хакерам, которые могут использовать фишинговые приемы или атаковать чатботы через найденные уязвимости. В случае с клиентами банка IMB злоумышленники, обнаружив слабое место в коде чата, добавили туда свой код, который на финальной стадии оплаты билетов похищал данные карт. Разумеется, что возможны и другие сценарии, когда пользователи непреднамеренно предоставляют доступ к своим персональным или финансовым данным или заражают свои устройства вредоносным ПО.

Еще один похожий случай стал широко известен весной этого года. Компании Delta Air Airlines и Sears признали факт кибератаки на провайдера чат-платформы. По информации крупной розничной сети Sears, действия хакеров позволили похитить данные кредитных карт 100 тысяч клиентов в период с сентября по октябрь 2017 года. Такие инциденты могут повлечь за собой наложение серьезного штрафа из-за нарушения компаниями правил безопасности хранения и использования таких чувствительных данных.

Особенно сложно защищать коммуникацию в Slack, так как платформа предлагает широчайший спектр способов взаимодействия для разработчиков. Эти же интерфейсы используются злоумышленниками. Например, проект Kin Blog был вынужден в итоге сменить платформу, чтобы облегчить сотрудникам круглосуточную борьбу с атакующими.

С середины 2017 года Slack-боты, нацеленные на кражу криптовалют, стали настоящей головной болью известного мессенджера. Самая успешная атака злоумышленников связана с проектом Enigma, который был на стадии pre-ICO. Преступники использовали имя компании, чтобы создать свой чат-бот, который уведомлял пользователей о проблемах с их кошельком, потом просил перейти по ссылке и ввести закрытый ключ. В результате у доверчивых пользователей похитили порядка $500 тысяч в Ethereum.

Как преступники атакуют чат-боты? Хакеры могут тестировать чаб-бот в спокойном режиме, чтобы определить, какую полезную информацию у него можно получить. На основе полученных данных преступник может взломать учетные записи реальных сотрудников, от имени которых ведется переписка; распространить вредоносные вложения или атаковать сервер. Для этого существует множество доступных и бесплатных инструментов.

Внимательно выбирайте разработчика живого чата или бота. Помните, что вам предстоит не просто внедрить удобную платформу для общения со своими клиентами, но также обеспечить весь процесс коммуникации безопасным.

Обратите внимание разработчиков на соблюдение принципов безопасности. Написанный код необходимо тщательно проверять на наличие возможных уязвимостей. Если разработчики не в состоянии оценить уровень безопасности - лучше прибегнуть к помощи ИБ-специалистов, которые смогут протестировать работу чат-ботов на возможное проникновение.

После регистрации бота (VK, Telegram и др.) чат-плафторма предоставляет секретную алфавитно-цифровую комбинацию - так называемый токен. Нельзя допустить, чтобы полученный токен (ключ доступа) был скомпрометирован. Необходимо продумать меры, применяемые к его защищенному хранению, а также существенно ограничить круг лиц, обеспечивающих эту защиту.

Важно правильно хранить и защищать данные пользователей, собранные чат-ботами. Желательно шифровать любую информацию (персональную - в обязательном порядке), а также создавать правила, ограничивающие время хранения информации.  Более того, рекомендуется ограничить тип информации, которой бот делится с пользователем.

Чтобы бот смог определить, что он общается не с потенциальным мошенником, который занимается разведкой, а с реальным клиентом, - стоит подключить методы идентификации пользователя (лучше, если это будет многофакторная аутентификация).

Если вы клиент, внимательнее общайтесь с ботом, не передавайте ему ваши персональные или финансовые данные - лучше позвоните в службу поддержки.