新的研究发现,网络犯罪分子正在使用它Telegram机器人窃取一次性密码token(OTP)通过银行和在线支付系统(包括银行和在线支付系统)PayPal、Apple Pay和Google Pay)欺诈群众。
英特尔471的研究人员在周三发布的一份报告中表示,他们发现该活动自6月以来一直在运行。
研究人员在帖子中指出:“双因素身份验证是人们保护任何在线账户的最简单方法之一。”“因此,罪犯正试图绕过这种保护。”
研究人员说,威胁行为者正在使用它Telegram机器人电话给受害者、冒充银行信息的策略,包括致电受害者、冒充银行和合法服务。
他们说,威胁行为者还通过社会工程通过移动设备欺骗人们提供它们OTP或者其他验证码,然后骗子用这些代码骗取用户账户中的资金。
他们在报告中写道:“这些机器人很容易被攻击者使用。”“虽然创建机器人需要一些编程能力,但用户只需要花钱访问机器人程序,获取目标电话号码,然后点击几个按钮。”
事实上,Telegram bot它已经成为网络犯罪分子的流行工具,他们以各种方式使用它作为用户欺诈的一部分。今年1月发现了一个类似的活动,叫做Classiscam,在这次活动中,讲俄语的网络犯罪分子为了从欧洲受害者那里窃取金钱和支付数据,将机器人作为服务出售。发现其他威胁独特的方式使用Telegram机器人作为间谍软件的命令和控制。
在这种情况下,英特尔471研究人员分别观察和分析了三种机器人活动SMSRanger、BloodOTPbot和SMS Buster。
易于使用的机器人是服务
根据该帖子,研究人员将SMSRanger描述为“易于使用”。他们解释说,参与者付费访问机器人,然后通过输入命令使用它,这与广泛使用的劳动合作平台相匹配Slack以类似的方式使用机器人。
研究人员写道:“一个简单的斜线命令允许用户启用各种‘模式’——脚本用于各种服务——可针对特定银行,以及PayPal、Apple Pay、Google Pay或无线运营商。”
研究人员说,SMSRanger将短信发送给潜在受害者,询问其电话号码。一旦目标电话号码输入到聊天信息中,机器人就会接管,“最终允许网络犯罪分子访问任何目标帐户”。
研究人员补充说,80%左右SMSRanger目标用户最终会向威胁者提供完整准确的信息,使他们能够成功地欺骗受害者。
冒充信任的公司
同时,研究人员还指出,BloodTPbot也可以通过短信向用户发送欺诈性OTP代码。然而,该机器人要求攻击者伪造受害者的电话号码,并假装是银行或公司的代表。
该机器人试图呼叫受害者,并使用社会工程技术从目标用户那里获取验证码。研究人员解释说,攻击者将在通话期间收到机器人的通知,并指定在身份验证过程中何时要求OTP。一旦受害者收到OTP并在手机键盘上输入,机器人将代码发送给操作员。
BloodTPbot每月的费用是300美元,用户还可以支付20到100美元来访问社交媒体网络账户的实时网络钓鱼面板,包括Facebook、Instagram和Snapchat;PayPal和Venmo等金融服务;投资应用;Robinhood;加密货币市场Coinbase。
伪装成银行
研究人员观察到的第三个机器人,SMS Buster,威胁参与者访问某人的账户信息需要付出更多的努力。
研究人员表示,该机器人提供了一个选项,允许攻击者伪装从任何电话号码中拨打的电话,使其看起来像一个来自特定银行的合法联系人。在呼叫潜在受害者后,攻击者试图根据脚本欺骗目标,如ATM卡PIN、信用卡验证值(CVV)或OTP等信息。
研究人员观察到威胁行为者的使用SMS Buster攻击加拿大受害者及其银行账户。英特尔471研究人员在撰写本文时目睹了攻击者的使用SMS Buster非法访问了八家不同加拿大银行的账户。
研究人员总结道:“一般来说,机器人程序表明,某些形式的双因素身份验证可能有其自身的安全风险。”“虽然是基于短信和电话的OTP服务总比没有好,但显然犯罪分子已经找到了绕过保障措施的社会工程方法。”
本文翻译自:https://threatpost.com/telegram-bots-compromise-paypal/175099/如若转载,请注明原文地址。