黑客正利用高效語音機器人騙取雙因素身份驗證碼

每當大規模數據泄露登上新聞頭條時,安全專家總是不厭其煩地提醒保護線上資產的重要性。比如避免使用弱密碼,藉助靠譜的密碼管理器,為每個不同的服務 / 網站 / 應用程序配備不同的唯一密碼,以及靈活應用雙因素身份驗證(2FA)或一次性密碼(OTP)等措施。然而近日,我們又見到了一種新鮮出爐的高效定製語音機器人。它們能夠自動發出呼叫,以騙取用戶的臨時驗證碼。

黑客正利用高效語音機器人騙取雙因素身份驗證碼

視頻截圖(via Metamask Giveaways)

如此一來,在受害者沒有充分意識到的情況下,他們的線上賬戶或數字資產就已被攻擊者染指。

當然,即使沒有用到這種新穎的語音機器人討論,雙因素身份驗證(2FA)也不是萬無一失的,因為一些黑客可能會採取社工手段來忽悠用戶。

另一方面,語音機器人的攻擊手段要複雜許多,首先就是讓受害者相信他們正在與其想要滲透的相關服務的自動化安全系統交談。

為此,Motherboard 借用了一個簡單的例子來演示此類攻擊,期間收到了一通自稱來自 PayPal 防欺詐系統的來電。

OTP bot – cashout bank logs,apple pay(via)

自動語音告訴賬戶持有人,稱有人試圖消費特定的金額,因而系統需要驗證身份以阻止轉賬,從而騙取 2FA / OTP 驗證碼。

為保護您的賬戶,我們現正給您的移動設備發送驗證碼。在輸入一串六位數字后,語音會提示 ——‘謝謝合作,您的賬戶已被保護,此請求已被阻止’。

然後為了避免用戶立即回過神來,系統還會進一步忽悠用戶 ——‘若您的賬戶已被扣除任何款項,請不要擔心。我們將在 24 – 48 小時內予以退還,本次記錄的編號為 1549926,通話到此結束’。

然而現實是,騙得用戶個人數據(包括真實姓名、電子郵件地址、電話號碼)的黑客,仍可利用這些數據來確定他們是否擁有對應地址的 PayPal 賬戶(或任何類型的其它線上賬戶)。

黑客正利用高效語音機器人騙取雙因素身份驗證碼

Motherboard 解釋稱,為了定製這些針對亞馬遜、PayPal、網銀等特定服務的機器人,攻擊者將擔負每月數百美元的使用成本,灰產從業者甚至允許黑客自定義任何類型的機器人呼叫體驗。

作為預防措施,安全研究人員希望用戶充分意識到 2FA / OTP 語音機器人攻擊這件事的存在。凡是主動向你致電索取驗證碼的電話,都應立即掛斷並聯繫正版的官方客服,必要時可臨時緊急凍結賬戶資產。

(0)
上一篇 2021-11-08 08:58
下一篇 2021-11-08 08:58

相关推荐