每当大规模数据泄露成为头条新闻时,安全专家总是不厌其烦地提醒他们保护在线资产的重要性。例如,避免使用弱密码,使用可靠的密码管理器,为每个不同的服务/网站/应用程序配备不同的唯一密码,灵活应用双重身份验证(2FA)或一次性密码(OTP)等措施。然而,近日,我们却看到了一款新鲜出炉的高效定制化语音机器人。他们能够自动呼叫欺骗用户以获取临时验证码。视频截图(来自MetamaskGiveaways)这样,在受害者完全不知情的情况下,他们的在线账户或数字资产已被攻击者触及。当然,即使没有这种新颖的语音机器人讨论,双因素身份验证(2FA)也不是万无一失的,因为一些黑客可能会诉诸社会工程学来愚弄用户。另一方面,语音机器人攻击要复杂得多,首先要让受害者相信他们正在与他们想要渗透的服务的自动安全系统交谈。为此,Motherboard借用了一个简单的例子来演示这种类型的攻击,期间它接到了一个声称来自PayPal防欺诈系统的电话。OTPbot-cashoutbanklogs,applepay的自动语音(via)告诉账户持有人有人试图消费特定金额,因此系统需要验证身份以防止转账,从而骗取2FA/OTP验证代码。为了保护您的帐户,我们现在正在向您的移动设备发送验证码。输入一串六位数字后,语音会提示——“感谢您的配合,您的账号已被保护,此请求已被屏蔽”。然后,为了不让用户马上回过神来,系统还会进一步忽悠用户——‘如果你的账户被扣钱了,请不要担心。我们将在24-48小时内退款,电话号码为1549926,电话结束。然而,现实是,欺骗用户个人数据(包括真实姓名、电子邮件地址、电话号码)的黑客仍然可以使用这些数据来确定他们是否拥有该地址的PayPal账户(或任何其他在线账户)。Motherboard解释说,为了为亚马逊、PayPal和网上银行等特定服务定制这些机器人,攻击者将每月支付数百美元的使用费用,灰色行业从业者甚至允许黑客定制任何类型的机器人通话体验。作为一项预防措施,安全研究人员希望用户充分意识到2FA/OTP语音机器人攻击的存在。凡主动来电向您索要验证码的,请立即挂断并联系正品官方客服。如有必要,可暂时冻结账户资产。
