黑客如何操纵脆弱的机器人来窃取数据,假冒员工并执行网络钓鱼骗局
聊天机器人越来越多地成为全球许多公司的标准客户服务工具 - 去年Oracle的一项调查显示,法国,荷兰,南非和英国的营销人员中有80%的营销人员已经在2020年使用或计划使用它们。
但是,像任何技术一样,它们可能容易受到黑客的影响,这可能会导致可怕的后果。
例如,在6月,Ticketmaster承认它遭受了由第三方客户支持供应商Inbenta定制的一件JavaScript代码造成的安全漏洞。
人们认为,访问了多达40,000名英国客户的名称,地址,电子邮件地址,电话号码,付款详细信息和Ticketmaster登录详细信息 - 但仍然不确定攻击者如何访问Inbenta的系统。
但是,从根本上讲,聊天机器人容易受到与其他技术相同的攻击。
互联网安全公司WebRoot的高级安全分析师兰迪·艾布拉姆斯(Randy Abrams)告诉我:“如果攻击者获得对网络的访问,则可以妥协聊天机器人的数据。”beplay体育能用吗每日swbeplay2018官网ig。
“就像网络上的任何其他数据一样。如果我可以修改数据,那么我可以为聊天机器人错误信息提供娱乐和利润。”
但是,聊天机器人也可以拥有自己的漏洞。例如,在2016年,微软的Tay Bot被操纵用于喷出反犹太和种族主义虐待。
在这种情况下,问题是Microsoft允许Tay向与之互动的人学习 - 这些人似乎不是很好。
在约会应用Tinder的另一个示例中,网络犯罪分子使用聊天机器人模仿一名要求受害者输入其支付卡信息以在平台上进行验证的妇女。
这种攻击是心理因素发挥作用的地方。即使用户知道他们正在与聊天机器人打交道,而不是真正的公司代表,他们也更有可能在其请求中表现出盲目的信任。
“可以使用指挥的聊天机器人进行网络钓鱼。聊天机器人实质上是公司代表。”艾布拉姆斯说。
“当一个值得信赖的组织的代表说'遵循此链接并登录...'时,对受害者并不可疑。
“这对于即使是非常熟练的安全专家也可以有效。大多数用户将没有机会对抗此攻击向量。”
未报告
根据商业风险情报公司FlashPoint的说法,许多攻击都没有报告,这意味着对潜在风险的认识并不高。
标准的安全措施,例如多因素身份验证以及保持软件和安全补丁的最新措施,可以对减轻风险有很长的路要走,并且可以加密用户与聊天机器人之间的对话。
“公司还可以考虑将消息分解为较小的位,并单独加密这些位,而不是整个消息。
Flashpoint的Amina Bashir和Mike Mimoso建议:“在记忆泄漏攻击的情况下,这种方法使离线解密更加困难。”
“此外,适当存储和确保聊天机器人收集的数据至关重要。公司可以对所有存储的数据进行加密,并且可以在聊天机器人将存储此数据的时间长度上设置规则。”
至于用户,艾布拉姆斯建议无论您是否与真实的人说话,都可以从一开始就建立。
“如果您怀疑自己正在处理聊天机器人,但不确定,请问。他说,当涉及到“您能重新提出问题吗?”时,您有答案。”
“当您知道这是一个聊天机器人时,怪异的乐趣 - 当它应该是人类时,令人失望。”
