黑客正利用高效語(yǔ)音機(jī)器人騙取雙因素身份驗(yàn)證碼

來源：互聯(lián)網(wǎng)   發(fā)布日期：2021-11-08 09:31:48   瀏覽：17362次  

每當(dāng)大規(guī)模數(shù)據(jù)泄露登上新聞?lì)^條時(shí)，安全專家總是不厭其煩地提醒保護(hù)線上資產(chǎn)的重要性。比如避免使用弱密碼，借助靠譜的密碼管理器，為每個(gè)不同的服務(wù) / 網(wǎng)站 / 應(yīng)用程序配備不同的唯一密碼，以及靈活應(yīng)用雙因素身份驗(yàn)證（2FA）或一次性密碼（OTP）等措施。然而近日，我們又見到了一種新鮮出爐的高效定制語(yǔ)音機(jī)器人。它們能夠自動(dòng)發(fā)出呼叫，以騙取用戶的臨時(shí)驗(yàn)證碼。

視頻截圖（via Metamask Giveaways）

如此一來，在受害者沒有充分意識(shí)到的情況下，他們的線上賬戶或數(shù)字資產(chǎn)就已被攻擊者染指。

當(dāng)然，即使沒有用到這種新穎的語(yǔ)音機(jī)器人討論，雙因素身份驗(yàn)證（2FA）也不是萬(wàn)無一失的，因?yàn)橐恍┖诳涂赡軙?huì)采取社工手段來忽悠用戶。

另一方面，語(yǔ)音機(jī)器人的攻擊手段要復(fù)雜許多，首先就是讓受害者相信他們正在與其想要滲透的相關(guān)服務(wù)的自動(dòng)化安全系統(tǒng)交談。

為此，Motherboard 借用了一個(gè)簡(jiǎn)單的例子來演示此類攻擊，期間收到了一通自稱來自 PayPal 防欺詐系統(tǒng)的來電。

OTP bot - cashout bank logs，apple pay（via）

自動(dòng)語(yǔ)音告訴賬戶持有人，稱有人試圖消費(fèi)特定的金額，因而系統(tǒng)需要驗(yàn)證身份以阻止轉(zhuǎn)賬，從而騙取 2FA / OTP 驗(yàn)證碼。

為保護(hù)您的賬戶，我們現(xiàn)正給您的移動(dòng)設(shè)備發(fā)送驗(yàn)證碼。在輸入一串六位數(shù)字后，語(yǔ)音會(huì)提示 ‘謝謝合作，您的賬戶已被保護(hù)，此請(qǐng)求已被阻止’。

然后為了避免用戶立即回過神來，系統(tǒng)還會(huì)進(jìn)一步忽悠用戶 ‘若您的賬戶已被扣除任何款項(xiàng)，請(qǐng)不要擔(dān)心。我們將在 24 - 48 小時(shí)內(nèi)予以退還，本次記錄的編號(hào)為 1549926，通話到此結(jié)束’。

然而現(xiàn)實(shí)是，騙得用戶個(gè)人數(shù)據(jù)（包括真實(shí)姓名、電子郵件地址、電話號(hào)碼）的黑客，仍可利用這些數(shù)據(jù)來確定他們是否擁有對(duì)應(yīng)地址的 PayPal 賬戶（或任何類型的其它線上賬戶）。

Motherboard 解釋稱，為了定制這些針對(duì)亞馬遜、PayPal、網(wǎng)銀等特定服務(wù)的機(jī)器人，攻擊者將擔(dān)負(fù)每月數(shù)百美元的使用成本，灰產(chǎn)從業(yè)者甚至允許黑客自定義任何類型的機(jī)器人呼叫體驗(yàn)。

作為預(yù)防措施，安全研究人員希望用戶充分意識(shí)到 2FA / OTP 語(yǔ)音機(jī)器人攻擊這件事的存在。凡是主動(dòng)向你致電索取驗(yàn)證碼的電話，都應(yīng)立即掛斷并聯(lián)系正版的官方客服，必要時(shí)可臨時(shí)緊急凍結(jié)賬戶資產(chǎn)。

贊助本站