A engenharia social pode ser potencializada através de chatbots?

A utilização de aprendizagem de máquina pode potencializar e sofisticar ataques de engenharia social, sendo esta uma das tendências presentes no relatório de previsões sobre ameaças em 2017 pela McAfee Labs (2016). Surge, então, a preocupação com os chatbots que estão sendo muito utilizados.

Segundo a Gartner, em 2020, as pessoas irão conversar mais com os bots do que com seus cônjuges, o que demonstra o aumento na confiança em assistentes virtuais. Entretanto, ao ser posicionado como uma interface de interação com seus consumidores, o chatbot pode representar uma ameaça tanto para as organizações quanto para os usuários.

Considerando esse cenário, foi realizada uma pesquisa para compreender quais ameaças à segurança de informação usuários e organizações estão suscetíveis. Durante a pesquisa, foi possível identificar ameaças quanto ao comprometimento de informações dos usuários, ataques de negação de serviço, a possibilidade de comprometimento da inteligência artificial e engenharia social. Foi realizado um estudo de caso para compreender quão bem-sucedido seriam ataques de engenharia social utilizando chatbots, considerando que o fator humano é o ponto fraco da segurança de informação. Como pode ser observado no gráfico abaixo, pouco ou nenhum hábito de segurança da informação por parte dos colaboradores é um dos principais fatores da violações de dados.

Principais fatores de violações de dados  – Fonte: CyberArk – Global Advanced Threat Landscape Survey 2015

 

O estudo de caso foi realizado seguindo algumas etapas, como demonstrado na imagem abaixo:

Etapas do estudo de caso

 

Foi criado um chatbot sobre vagas de emprego, que foi publicado na página  “Quem Indica”, no Facebook. Cada mensagem recebida pela página era automaticamente respondida pelo chatbot. A partir do momento que o usuário enviava uma mensagem, automaticamente passava a ser atendido pelo chatbot, como demonstrado na imagem abaixo.

O chatbot ficou habilitado por doze dias, período no qual foi possível estabelecer conversa com dezoito pessoas, sendo 78% são do sexo feminino e 22% do sexo masculino, com idades entre 17 e 43 anos. Analisando a taxa de cliques nos links enviados no contexto da conversa, e considerando o fluxo de navegação proposto para simular ataques de engenharia social, foram obtidos 100% de cliques no primeiro link enviado solicitando cadastro do perfil profissional.

Das pessoas que interagiram com o chatbot, 78% delas preencheram o cadastro de perfil profissional, com base no qual foi realizada uma pesquisa sobre a vaga pretendida e enviado um novo link com sugestões de vagas no perfil indicado. Com relação ao envio de links com as vagas, foi alcançada a taxa de 71% de cliques. Quanto às informações solicitadas no cadastro profissional, a única questão que nem todos os usuários preencheram foi o número da carteira de identidade, em que somente seis pessoas disponibilizaram a informação. As demais informações como nome, e-mail, telefone, última empresa na qual trabalhou e cargo, foram preenchidas por todos.

Com base nos resultados obtidos, podemos identificar que o fato do chatbot ter sido construído com uma apresentação mais amigável e o seu sistema fazer parte da plataforma do Facebook, pode ter influenciado na sua credibilidade. Dessa forma , os usuários podem ter se sentido mais confortáveis em disponibilizar informações pessoais e clicar em links. Além disso, ações que auxiliam na identificação de engenharia social como endereço de e-mail suspeito ou erros de escrita, não se aplicam quando se trata de redes sociais e aplicativos de mensagens, pois não são exibidos e-mails, apenas o nome da página do chatbot, enquanto que erros de digitação e palavras abreviadas são considerados normais em conversas.

Com o intuito de realizar uma comparação, foi enviado um e-mail no contexto do serviço de busca de vagas para todos os usuários que preencheram o cadastro – neste caso, quatorze pessoas. Foi possível verificar que dos quatorze e-mails enviados, apenas quatro foram abertos e houve apenas um clique dentre os diversos links disponibilizados no corpo do e-mail através de botões para aumentar o incentivo, enquanto que com a utilização do chatbot, de dezoito contatos existentes houveram quatorze cliques, como pode ser observado no gráfico abaixo. 
O chatbot é desenhado de uma forma amigável, com o intuito de se aproximar da maneiro como as pessoas conversam, para estabelecer uma relação de confiança. Isso faz com que aumentem as chances de atacantes conseguirem que usuários disponibilizem informações sensíveis  ou cliquem em links que aparentemente estão no contexto da conversa, mas que podem conter um malware. Com base nos resultados identificamos que, considerando um cenário de ataque de engenharia social, o chatbot seria bem-sucedido, e neste caso mais eficiente do que através de e-mail. 

Até a próxima!

Referência:

  • NUNES, Samantha. COMPUTAÇÃO COGNITIVA NO ÂMBITO CORPORATIVO: uma perspectiva em segurança da informação. Dezembro 2016.