Cyber??News研究人员发现了一种新的自动化社会工程工具,可以从美国、英国和加拿大的用户那里提取一次性密码(OTP)。所谓的OTP机器人可以诱骗受害者将犯罪密码发送到他们的银行账户、电子邮件和其他在线服务——所有这些都不需要与受害者直接互动。接到伪装成技术支持代理的诈骗者的电话可能会很烦人。对于潜在的受害者来说,听到有人试图利用他们的善意来欺骗他们肯定会很烦人。对于骗子来说,这甚至可能很乏味——每天给数百人打电话可以让骗局看起来像真的有效。然而,从现在开始,事情就不是这样了。现在,骗子似乎改变了方向,因为一类新的可出租机器人正在席卷社会工程学界。认识OTP机器人:一种新的恶意Telegram机器人,旨在通过机器人呼叫毫无戒心的受害者并诱使他们放弃一次性密码,然后骗子使用这些密码访问和清空他们的银行账户。更糟糕的是,这个新机器人的用户群在最近几周增长到数千人。要点该机器人可以在几分钟内从受害者那里提取一次性密码。OTPBot可以从加密货币交易所、银行和其他在线服务(如Gmail、Coinbase、BankofAmerica、Alliant、Chase等)窃取OTP。Cyber??News获得了bot的通话录音,揭示了OTPBot的社会工程技术。OTP机器人Telegram频道发展迅速,每天都有数百名新的潜在诈骗者加入。OTP机器人如何工作根据Cyber??News研究员MartynasVareikis的说法,OTP机器人是不断发展的犯罪软件即服务模型的最新示例,在该模型中,网络犯罪分子将恶意工具和服务出租给任何愿意付费的人。一旦购买,OTPBot允许其用户通过输入目标的电话号码以及威胁行为者可能从数据泄露或黑市获得的任何其他信息直接进入bot的电报聊天窗口来访问毫无戒心的受害者。密码。“根据威胁行为者希望利用的服务,这些附加信息可能只包括受害者的电子邮件地址,”Vareikis说。该机器人正在Telegram聊天室中出售,该聊天室目前拥有6,000多名成员,其创建者通过向犯罪分子出售月度订阅来赚取巨额利润。与此同时,它的用户公开吹嘘他们如何洗劫目标银行。账户收益五位数。CequenceSecurity的常驻黑客JasonKent认为,机器人雇佣服务已经使自动化威胁市场商品化,使犯罪分子很容易进入社会工程领域。”在哪里可以找到机器人资源以及如何将它们与脚本、IP地址和凭据拼凑在一起。现在,一些网络搜索将出现完整的Bot-as-a-Service产品,我只需支付使用该机器人的费用。对于NOW和安全团队,这是适合任何人的机器人。“消费者越来越难知道来电者是谁,而且他们无法像以前那样自信地为孩子购买新游戏机。”“礼品卡使骗局四处传播OTPBot的用户使用的最流行的欺诈技术称为“卡链接”,它将受害者的信用卡连接到他们的移动支付应用程序帐户,然后使用它在实体店购买礼品卡-迫击炮商店“信用卡链接是诈骗者的最爱,因为被盗的电话号码和信用卡信息在黑市上相对容易获得,”Valeckis说。“有了这些数据,威胁行为者可以从聊天菜单,然后简单地将受害者的信息提供给OTPBot。-MartinasValekis然后,通过使用假来电显示,bot会自动拨打受害者的电话,伪装成支持人员,并试图诱骗他们向他们发送一次性密码,这是一种登录方式受害者的ApplePay或GooglePay帐户。在使用窃取的一次性密码登录后,攻击者可以将受害者的信用卡链接到支付应用程序,然后在附近的实体店疯狂购买礼品卡。诈骗者经常使用关联的信用卡购买预付礼品卡,原因很简单:他们不需要财务指纹。这在大流行期间尤其方便,因为大多数室内空间都强制佩戴口罩,使犯罪分子更容易在整个过程中隐藏身份。在该机器人的Telegram频道中,一些OTPBot用户吹嘘他们在三天内用受害者关联的信用卡购买了价值数千美元的预付礼品卡,而其他人则展示了该机器人可以在短短两天内以多快的速度从目标中提取密码。在几分钟内,OTPBot成功捕获了代码并将受害者的Alliant信用卡链接到攻击者的ApplePay应用程序。不难想象一个机器人在24小时内可以愚弄多少受害者。但是,信用卡链接并不是OTPBot支持的唯一功能。自动化社会工程工具的创造者吹嘘他们能够为Gmail、Coinbase、美国银行、大通银行等提取一次性密码。虽然很难相信机器人呼叫应用程序可以在几分钟内诱骗您放弃敏感信息,但OTPBot的设计听起来很有说服力。Cyber??News设法获得了OTPBot语音通话的录音,其中该机器人冒充支持代理人警告潜在受害者,未经授权的一方请求访问他们的银行账户。为了阻止请求并保证账户安全,受害者被要求输入他们的银行密码。获得PIN后,机器人会称赞受害者做得好:“太棒了!我们已经阻止了这个请求,你的账户现在安全了!”-OTPBotOTPBot然后向受害者保证,任何未经授权的授权交易都会在24-48小时内自动退款,并厚颜无耻地将他们引导到一个不存在的ActionFraud网站,以获取“关于如何保护您的账户安全的社区文章”。当单独收听录音通话时,很明显OTPBot的声音是使用文本转语音程序生成的。话虽如此,我们也不能过分责怪受害者,毕竟他们很可能在繁忙的办公室接听电话,并将机器人误认为是真正的支持人员。话又说回来,向机器人披露他们的个人信息对某些人来说甚至不是问题。根据2019年Zingle的一项研究,20%的用户对客户支持机器人的信任程度超过真人,而高达42%的用户对机器人的信任程度与对人工支持代理的信任程度相当。越来越多的骗局和恶棍自4月份在Telegram上推出以来,该服务似乎越来越受欢迎,尤其是在过去几周。在撰写本文时,OTPBotTelegram频道拥有6,098名成员——在短短7天内增加了20%。快速增长背后的原因似乎是易于使用和租用机器人模式,它允许没有经验甚至是初次诈骗者以最小的努力和零社交互动成功地欺骗他们的受害者。一些OTPBot用户厚颜无耻地在Telegram聊天中分享他们的成功故事,向频道的其他成员吹嘘他们是如何获得不义之财的。基于OTPBots的成功,很明显这种新型的自动化社会工程工具只会继续流行。事实上,大量新的山寨服务进入市场只是时间问题,更多的骗子必然会利用它们在不知情的目标上快速获利。Spyic的创始人KatherineBrown警告说,随着市场上越来越多的机器人,社会工程及其滥用的可能性是无穷无尽的。“今年我们看到了自动攻击政治目标以推动公众舆论的机器人的出现,”布朗说。受限、招聘的社会工程机器人正在兴起,这更令人担忧。“对于那些不了解安全的人来说尤其如此。众所周知,威胁参与者使用自动化和在线社会工程攻击来优化操作并实现他们的目标,而Cyber??News团队发现了另一个这样的例子。”“更令人担忧的是,这项技术以基于云的方式(犯罪软件即服务)提供,为‘脚本小子’诈骗者提供了一个更容易的切入点。”Mylonas认为,用户应该“自我教育并警惕此类威胁,使他们更难成为网络犯罪分子的目标。”然而,Mettle的首席安全工程师MikailTun?认为,该公司还应该做更多工作来教育用户有关数字安全的知识。“安全是一个移动的目标,传统的象牙塔安全措施现在已经远远落后了。”“银行需要更加关注如何以正确的方式持续对客户进行安全知识教育。持续教育和提高安全意识是关键。”–MikaelTun?与此同时,Tun?认为安全团队需要在设计应用程序时考虑到客户的特质。“即使是设计元素和文案也非常重要,这些因素可能是养老金领取者是否失去毕生积蓄的区别。“反机器人呼叫协议:朝着正确方向迈出的一步?值得庆幸的是,在打击诈骗电话和网络钓鱼(语音网络钓鱼)方面也有一些好消息。Verizon和AT&T等主要移动运营商开始实施STIR/SHAKEN,例如反机器人呼叫协议,这使得社会工程师更难伪造来电显示并将自己伪装成技术支持。也就是说,一些专家认为这些措施不会阻止诈骗者呼叫潜在的受害者,因此可能需要一段时间才能解决甚至大大缓解了robocall问题。OracleCommunications网络安全总监TravisRussell断言,小型电信公司没有资源来实施反robocall协议,这可能会使一些用户面临风险。据Russel称,支持STIR/SHAKEN将是小型运营商最优雅的解决方案,因为它将从实施过程中消除昂贵的技术要求。Russel认为:“如果它作为软件提供wareasaservice,它将大大降低所有运营商的成本,并可能加速STIR/SHAKEN的实施。将其与基于云的分析平台相结合,我们可以很好地减轻骚扰电话的危害。TheCyber??Doctor首席执行官兼总裁StephenBoyce博士认为,像STIR/SHAKEN这样的反机器人呼叫协议是朝着正确方向迈出的一步。Boyce告诉Cyber??News:“然而,大量的抢劫电话仍然来自Slipthroughthecracks。与STIR/SHAKEN协议相结合的机器人呼叫欺诈的持续用户教育是最好的防御措施。“相比之下,杰森·肯特(JasonKent)认为反机器人呼叫协议只是九牛一毛。”STIR/SHAKEN验证检查预计将于今年6月30日实施。您会注意到机器人电话仍然是一个问题。“就在昨天,有人打电话给我,问我是否知道为什么我的号码给他们打电话,并告诉他们他们的社会安全号码被取消了。我告诉他们这是一个骗局,骗子伪造了我的电话号码。-JasonKentKent告诉Cyber??News:“6月30日过去了,似乎什么也没发生。这些服务背后的人多年来一直在逃避法律,而且肯定会继续这样做。“不要上当:如何发现社会工程学攻击考虑到所有这些,了解如何发现社会工程学攻击对于保护您的资金和个人信息安全仍然至关重要:不要接听来自未知号码的电话。如果您如果您不认识打电话询问您个人信息的人,请立即挂断。切勿泄露个人数据。这包括姓名、用户名、电子邮件地址、密码、PIN等数据,或任何可用于识别您身份的信息。慢慢来。诈骗者经常试图制造一种虚假的紧迫感,迫使您透露您的信息。如果有人试图强迫您做出决定,请挂断电话或告诉他们您稍后会回电。然后拨打他们声称的代表您公司的官方电话号码。不要相信来电显示。诈骗者可以伪造姓名和电话号码,以显示为公司或联系人列表中的某个人。事实上,金融服务提供商从不打电话给他们的客户mers确认他们的个人信息。如果发生可疑活动,他们只会阻止您的帐户,并希望您通过官方渠道与公司联系以解决问题。所以时刻保持警惕。本文翻译自:https://cybernews.com/security/new-robocall-bot-on-telegram-can-trick-you-into-giving-up-your-password/如有转载请注明原文地址.
