Из этой статьи вы узнаете: те ли чат-боты, за кого себя выдают, как обезопасить себя при общении с ними и как мы спасали пользователей конструкторов чат-ботов.
1821 просмотров
Как мы спасали пользователей конструкторов чат-ботов
На дворе только начиналась СВО и мир увидел проявления информационных войн. К нам в агенство BotCreators.ru стали поступать нетипичные запросы по тематике чат-ботов. Требовалось не разработать продукт, а удалить сообщения, которые отправляли чат-боты без ведома клиента из разных мессенджеров. А то и вовсе удалить чат-бота, лишь бы он не спамил.
Конечно, и до этого в сети мелькали новости, что взломали чат-бот какой-то компании, но эти новости были редки. Да и взломом это можно назвать с натяжкой. Механика сводилась к захвату аккаунта, на который был заведен токен чат-бота.
Но ситуация в марте 2022 года резко отличалась:
- массовостью инцидентов (только к нам обратилось более 30 владельцев чат-ботов);
- никто аккаунты владельцев чат-ботов не ломал.
Стали собирать воедино все факты и вот что оказалось.
ЧЕМ ОПАСНЫ АНОНИМНЫЕ ЧАТ-БОТЫ?
Создатели нескольких зарубежных конструкторов чат-ботов решили без ведома клиентов сделать рассылку по их базе. Только вдумайтесь. Вы доверили сервису свою базу, а он берет и рассылает по ней что хочет (рассылка содержала артефакты информационной войны).
Технически метода для удаления любого сообщения, отправленного чат-ботом в Телеграмме нет. Нужно знать ID-сообщения, а чтобы его получить нужно запросить историю сообщений. А метода по запросу истории сообщений чат-бота тоже нет. Получается какая-то ловушка.
Пораскинув мозгами и включив смекалку все-таки нашли выход из ситуации и написали несложный скрипт, который удалил все сообщения (помог незадокументированный функционал Телеграмм в части MTProto).
Владельцы чат-ботов остались довольны. Деньги мы за такую услугу не стали брать. Чему может научить эта история?
- Проверять бенифициаров сервисов, которыми пользуетесь и которым доверяете свои данные.
- Оценивать репутационные риски, если сервис окажется не тем, за кого себя выдает.
- Если система критически важная для бизнеса, рассмотреть переход на on-promise решения (хотя и это не панацея). Open Source сообщество дала поводы к разочарованию. Но это совсем другая история.
Какие данные собирают чат-боты?
Про каждую платформу говорить в отдельности не буду — слишком длинный пост получился бы. Обобщенный набор собираемых данных такой:
- ID аккаунта в соц.сети /мессенджере;
- имя, фамилия, никнейм;
- аватарка пользователя;
- номер телефона (по явному запросу);
- гео (по явному запросу).
Сами собранные данные единожды не имеют практического смысла. Как учит теория OSINT ценность представляют обобщение и пересечение данных. В одном боте вы оставили телефон, в другом приложении адрес доставки, а на третьем сайте почту. И вот уже подготовленному дата-хантеру с набором слитых баз не представляет труда собрать ваш цифровой портрет.
ТЕ САМЫЕ БОТЫ В ТЕЛЕГРАМ-ЧАТАХ
И что теперь обходить чат-ботов стороной?
За последние пару месяцев наблюдаем бурный рост юзер-ботов. Это телеграмм аккаунты, которые пишут первые с предложением записаться на тот или иной вебинар. Базы по которым формируются такие рассылки получаются двумя способами:
- парсингом списка участников каналов / групп;
- сбором Telegram_ID из так называемой паутины ботов с бесплатным контентом (фильмы / книги / курсы).
Что же теперь, не запускать ботов и обходить их стороной? Конечно, нет. Просто нужно ясно понимать для каких целей, например, чат-боту нужен ваш номер телефона или почта. И не забывать:
Если вы не заплатили за продукт, скорее всего товаром оказались ваши данные
Несколько рекомендаций при работе с чат-ботами:
- не надо незнакомых ботов добавлять в группы (например для просчета статистики / матерных слов / админства)
- не запускать ботов, которые предлагают бесплатно выполнить функцию поиска фильма / книги (или осознавать риски, что ваш ID будет использован при спам-рассылках)
- создать отдельный аккаунт в мессенджере (благо Телеграм поддерживает мульти-аккаунты) для исследования незнакомых ботов и тогда хаос не выйдет дальше этого аккаунта.
Любая новая технология несет в себе и преимущества и риски. Зрите в корень.
Источник: vc.ru
Эксперт предупредил об опасности ботов в Telegram
Чат-боты Telegram могут быть использованы мошенниками для получения конфиденциальной информации. Злоумышленники применяют в них методы социальной инженерии и фишинга.
С точки зрения передачи информации чат-бот — такой же механизм взаимодействия с пользователем, как форма заполнения данных на сайте. В этой сфере, как и в любой другой, есть мошенники, которые пытаются нажиться на пользователях — сказал «Газете.Ru» эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов.
Он отметил, что всегда стоит анализировать характер запрашиваемой ботом информации. В норме он не должен пользоваться приемами мошенников и пытаться получить данные банковской карты, паспорта или другую конфиденциальную информацию.
Чат-боты используются в Telegram для различных целей. Например, службы поддержки сервисов через ботов проводят предварительный опрос перед соединением с оператором. Существуют боты для поиска изображений, музыки, книг или даже просмотра фильмов прямо в мессенджере.
Источник: www.playground.ru
Россиянам рассказали об опасности Telegram-ботов
Эксперт по кибербезопасности в «Лаборатории Касперского» Дмитрий Галов заявил, что боты, которые используются в чатах внутри мессенджера Telegram, способны сливать данные пользователей.
«С точки зрения передачи информации чат-бот — такой же механизм взаимодействия с пользователем, как форма заполнения данных на сайте. В этой сфере, как и в любой другой, есть мошенники, которые пытаются нажиться на пользователях», — пояснил он в беседе с «Газета.ru»
По словам Галова, прежде чем самостоятельно передавать чат-боту персональные данные, необходимо убедиться, что это тот самый канал, а не его имитация, созданная киберпреступниками.
Кстати, как рассказывают «Известия», преступники вымогают у людей деньги, угрожая взломать аккаунт или рассказать о действиях жертв в Сети списку их контактов. По данным экспертов по безопасности, одним из таких ботов стал MailSearchBot компании LeakCheck, изначально создававшийся для проверки украденных паролей.
Ранее Роскачество предупредило о потенциальных мошенниках в Telegram. Для безопасного использования мессенджера необходимо знать основы цифровой безопасности, передает RT.
Возрастная категория сайта 18 +
Сетевое издание (сайт) зарегистрировано Роскомнадзором, свидетельство Эл № ФС77-80505 от 15 марта 2021 г.
ГЛАВНЫЙ РЕДАКТОР — НОСОВА ОЛЕСЯ ВЯЧЕСЛАВОВНА.
ШЕФ-РЕДАКТОР САЙТА — КАНСКИЙ ВИКТОР ФЕДОРОВИЧ.
АВТОР СОВРЕМЕННОЙ ВЕРСИИ ИЗДАНИЯ — СУНГОРКИН ВЛАДИМИР НИКОЛАЕВИЧ.
Сообщения и комментарии читателей сайта размещаются без предварительного редактирования. Редакция оставляет за собой право удалить их с сайта или отредактировать, если указанные сообщения и комментарии являются злоупотреблением свободой массовой информации или нарушением иных требований закона.
АО «ИД «Комсомольская правда». ИНН: 7714037217 ОГРН: 1027739295781 127015, Москва, Новодмитровская д. 2Б, Тел. +7 (495) 777-02-82.
Исключительные права на материалы, размещённые на интернет-сайте www.kp.ru, в соответствии с законодательством Российской Федерации об охране результатов интеллектуальной деятельности принадлежат АО «Издательский дом «Комсомольская правда», и не подлежат использованию другими лицами в какой бы то ни было форме без письменного разрешения правообладателя.
Источник: www.kp.ru