每当大规模数据泄露出现在新闻头条时,安全专家总是不厌其烦地提醒保护在线资产的重要性。例如,避免使用弱密码。在可靠的密码管理器的帮助下,为每个不同的服务 / 网站 / 应用程序配备不同的唯一密码,并灵活应用双因素身份验证(2FA)或一次性密码(OTP)等待措施。然而,最近,我们看到了一种新的高效定制语音机器人。它们可以自动呼叫以欺骗用户的临时验证码。
视频截图(via Metamask Giveaways)
这样,当受害者没有完全意识到时,他们的在线账户或数字资产就被攻击者染指了。
当然,即使不使用这种新颖的语音机器人讨论,双因素身份验证(2FA)不是万无一失的,因为有些黑客可能会用社工来忽悠用户。
另一方面,语音机器人的攻击要复杂得多,首先是让受害者相信他们正在与他们想要渗透的自动化安全系统交谈。
为此,Motherboard 借用了一个简单的例子来演示此类攻击,期间收到了一通自称来自 PayPal 防欺诈系统电话。
OTP bot - cashout bank logs,apple pay(via)
自动语音告诉账户持有人,有人试图消耗特定金额,因此系统需要验证身份以防止转账,从而欺骗 2FA / OTP 验证码。
然后,为了避免用户立即恢复,系统将进一步欺骗用户 ——‘如果您的账户已被扣除,请不要担心。我们将在 24 - 48 小时内退回,记录号为 154926,电话结束’。
然而,现实是,欺骗用户个人数据(包括真实姓名、电子邮件地址、电话号码)的黑客仍然可以使用这些数据来确定他们是否有相应的地址 PayPal 账户(或任何类型的其他在线账户)。
Motherboard 解释说,为亚马逊定制这些,PayPal、对于网上银行等特定服务的机器人,攻击者将承担每月数百美元的使用成本,灰色生产从业者甚至允许黑客定制任何类型的机器人呼叫体验。
安全研究人员希望用户充分认识到 2FA / OTP 语音机器人攻击的存在。所有主动打电话给您索取验证码的电话,应立即挂断并联系合法的官方客户服务,必要时可暂时冻结账户资产。