О каких рисках чат-ботов не принято говорить?

Поговорим о рисках?

Из этой статьи вы узнаете: те ли чат-боты, за кого себя выдают, как обезопасить себя при общении с ними, и как мы спасали пользователей конструкторов чат-ботов.

С одной стороны, чат-боты — это шаг вперед, упрощение жизни при помощи технологий, но с другой стороны, это поле для маневров злоумышленников. С помощью ботов мошенники получаю необходимую конфиденциальную информацию пользователей.

Как мы спасали пользователей конструкторов чат-ботов

На дворе только начиналась СВО, и мир увидел проявления информационных войн. К нам в агентство BotCreators.ru стали поступать нетипичные запросы по тематике чат-ботов. Требовалось не разработать продукт, а удалить сообщения, которые отправляли чат-боты без ведома клиента из разных мессенджеров. А то и вовсе удалить чат-бота, лишь бы он не спамил.

Конечно, и до этого в сети мелькали новости, что взломали чат-бот какой-то компании, но эти новости были редки. Да и взломом это можно назвать с натяжкой. Механика сводилась к захвату аккаунта, на который был заведен токен чат-бота.

Но ситуация в марте 2022 года резко отличалась:

1. массовостью инцидентов (только к нам обратилось более 30 владельцев чат-ботов);
2. никто аккаунты владельцев чат-ботов не ломал.

Стали собирать воедино все факты и вот что оказалось.

Создатели нескольких зарубежных конструкторов чат-ботов решили без ведома клиентов сделать рассылку по их базе. Только вдумайтесь. Вы доверили сервису свою базу, а он берет и рассылает по ней что хочет (рассылка содержала артефакты информационной войны).

Технически метода для удаления любого сообщения, отправленного чат-ботом в Телеграмме нет. Нужно знать ID-сообщения, а чтобы его получить нужно запросить историю сообщений. А метода по запросу истории сообщений чат-бота тоже нет. Получается какая-то ловушка.

Пораскинув мозгами и включив смекалку, все-таки нашли выход из ситуации и написали несложный скрипт, который удалил все сообщения (помог незадокументированный функционал Телеграмм в части MTProto).

Владельцы чат-ботов остались довольны. Деньги мы за такую услугу не стали брать. Чему может научить эта история?

1. Проверять бенифициаров сервисов, которыми пользуетесь и которым доверяете свои данные.
2. Оценивать репутационные риски, если сервис окажется не тем, за кого себя выдает.
3. Если система критически важная для бизнеса, рассмотреть переход на on-promise решения (хотя и это не панацея). Open Source сообщество дало поводы к разочарованию. Но это совсем другая история.

Какие данные собирают чат-боты?

Про каждую платформу говорить в отдельности не будем — слишком длинный пост получился бы. Обобщенный набор собираемых данных такой:

1. ID аккаунта в соц.сети / мессенджере;
2. имя, фамилия, никнейм;
3. аватарка пользователя;
4. номер телефона (по явному запросу);
5. гео (по явному запросу).

Сами собранные данные единожды не имеют практического смысла. Как учит теория OSINT, ценность представляют обобщение и пересечение данных. В одном боте вы оставили телефон, в другом приложении адрес доставки, а на третьем сайте почту. И вот уже подготовленному дата-хантеру с набором слитых баз не представляет труда собрать ваш цифровой портрет.

И что, теперь обходить чат-ботов стороной?

Стоит ли избегать чат-ботов?

За последние пару месяцев наблюдаем бурный рост юзер-ботов. Это телеграмм аккаунты, которые пишут первые с предложением записаться на тот или иной вебинар. Базы, по которым формируются такие рассылки, получаются двумя способами:

1. парсингом списка участников каналов / групп;
2. сбором Telegram_ID из так называемой паутины ботов с бесплатным контентом (фильмы / книги / курсы).

Многие боты занимаются вытягиванием конфиденциальных данных у пользователей, а потом их сливают. Что из этого извлекают мошенники? Способы использования данных в преступных целях абсолютно разные: от доступа к банковским картам, до шантажа и вымогательства.

Что же теперь, не запускать ботов и обходить их стороной? Конечно, нет. Просто нужно ясно понимать, для каких целей, например, чат-боту нужен ваш номер телефона или почта. И не забывать:

Если вы не заплатили за продукт, скорее всего товаром оказались ваши данные

Несколько рекомендаций при работе с чат-ботами:

1. не надо незнакомых ботов добавлять в группы (например для просчета статистики / матерных слов / админства);
2. не запускать ботов, которые предлагают бесплатно выполнить функцию поиска фильма / книги (или осознавать риски, что ваш ID будет использован при спам-рассылках);
3. создать отдельный аккаунт в мессенджере (благо Телеграм поддерживает мульти-аккаунты) для исследования незнакомых ботов и тогда хаос не выйдет дальше этого аккаунта;
4. всегда анализируйте характер запрашиваемой информации. Точно ли она необходима боту для работы с вами?;
5. перед передачей данных убедитесь, что это тот самый канал, а не его имитация.

Позаботиться о своей безопасности можете только вы сами. Для этого каждый раз анализируйте, кому и зачем вы отправляете свои данные. Также в самом Телеграме можно настроить конфиденциальность, скрыть номер от всех, запретить прочие действия всем, кроме контактов, использовать секретные чаты и сквозное шифрование. Для особо осторожных имеет смысл завести отдельный номер телефона для ТГ.

Также не рекомендуем вести в чатах приватные беседы и пересылать текстовую, фото и видео информацию, которую можно использовать против вас. Помните, что любые данные, которые однажды попали в сеть, уже не могут быть на 100% защищены и конфиденциальны.

Любая новая технология несет в себе и преимущества и риски. Зрите в корень и будьте всегда начеку.