每当大数据泄露登上新闻头条时,安全专家都会不断警告在线资产保护的重要性。 例如有避免使用弱密码、利用可靠的密码管理器、对每个服务/网站/APP准备不同的唯一的密码、利用双要素认证(2FA )和一次性密码等措施。 但是,最近我们又看到了新鲜出炉的高效定制语音机器人。 它们可以自动调用,骗取用户的临时验证码。
视频的屏幕快照(via meta遮罩千兆以太网) )。
这样,在受害者没有充分意识到的情况下,在线账户和数字资产就被攻击者染指了。
当然,即使不用这样新颖的语音机器人讨论,双因素认证(2FA )也不是万无一失的。 因为,一些黑客可能会采取社会工作者的手段来诱惑用户。
另一方面,语音机器人的攻击手段相当复杂,首先是让人们相信,受害者正在与他们打算渗透的相关服务的自动化安全系统进行交谈。
因此,Motherboard借了一个简单的例子演示这样的攻击,在这期间接到了PayPal诈骗防止系统的电话。
OTP bot-Cashout银行日志,苹果支付(via )
自动语音告诉账户所有者,有人要消费特定金额,系统需要验证身份,骗取2FA/OTP验证码,以阻止转账。
为了保护您的帐户,我们目前正在向移动设备发送授权码。 输入一系列6位数字后,语音显示为——‘谢谢合作。 账户受到保护。 显示“此请求已被阻止”。
之后,为了防止用户立即返回,系统还会显示用户——‘如果没有任何帐户,请不要担心。 24 - 48小时内退款。 这次记录的号码是1549926,通话到此结束’。
但是,实际上,骗取用户个人数据(包括真实姓名、电子邮件地址、电话号码)的黑客使用这些数据,判断是否拥有对应地址的PayPal账户(或其他种类的在线账户)
Motherboard表示,为了定制这些针对亚马逊、PayPal、网络银行等特定服务的机器人,攻击者每月将承担数百美元的使用成本,灰生产商将定制黑客所有类型的机器人呼叫体验
作为预防措施,安全研究者希望用户充分意识到2FA/OTP语音机器人攻击的存在。 主动向你索要验证码的电话,可以立即挂断联系正版官方客服,必要时暂时紧急冻结账户资产。