CyberNews研究人員發(fā)現(xiàn)了一種新型自動化社會工程工具，可以從美國、英國和加拿大的用戶中提取一次性密碼（OTP）。所謂的OTP Bot可以誘騙受害者向他們的銀行賬戶、電子郵件和其他在線服務(wù)發(fā)送犯罪密碼——所有這些都不需要與受害者直接互動。

　　接到偽裝成技術(shù)支持代理的騙子的電話很讓人覺得厭煩。對于潛在的受害者來說，聽有人試圖利用他們的善意來欺詐他們，這當(dāng)然是很讓人討厭的。對于詐騙者來說，這甚至可能是乏味的——每天給數(shù)百人打電話可能會使詐騙看起來像是實(shí)際工作。

　　但是，從現(xiàn)在開始事情不再是這樣了?，F(xiàn)在，騙子似乎已經(jīng)改變了傳統(tǒng)的做法，因?yàn)橐环N新型的可出租機(jī)器人正在席卷社會工程世界。

　　Meet OTP Bot：一種新型的惡意Telegram機(jī)器人，旨在用機(jī)器人呼叫毫無戒心的受害者，并誘使他們放棄一次性密碼，然后騙子使用這些密碼訪問并清空他們的銀行賬戶。更糟糕的是，這個(gè)新型機(jī)器人的用戶群在最近幾周內(nèi)不斷增長，達(dá)到數(shù)千人。

　　關(guān)鍵要點(diǎn)

　　該機(jī)器人可以在幾分鐘內(nèi)從受害者那里提取一次性密碼。

　　OTP Bot可以竊取加密貨幣交易所、銀行和其他在線服務(wù)（如Gmail、Coinbase、美國銀行、Alliant、Chase等）的OTP。

　　CyberNews獲得了該機(jī)器人的通話錄音，其中揭示了OTP Bot的社會工程技術(shù)。

　　OTP機(jī)器人Telegram頻道發(fā)展迅速，每天都有數(shù)百名新的潛在詐騙者加入。

　　OTP機(jī)器人的工作原理

　　根據(jù)CyberNews研究員Martynas Vareikis的說法，OTP Bot是不斷增長的犯罪軟件即服務(wù)模型的最新例子，網(wǎng)絡(luò)犯罪分子將惡意工具和服務(wù)出租給愿意付費(fèi)的任何人。

　　購買后，OTP Bot允許其用戶通過將目標(biāo)的電話號碼以及威脅行為者可能從數(shù)據(jù)泄露或黑市中獲得的任何其他信息直接輸入到機(jī)器人的Telegram聊天窗口中，從而從毫無戒心的受害者那里獲取一次性密碼。Vareikis說：“根據(jù)威脅行為者希望利用的服務(wù)，這些附加信息可能只包括受害者的電子郵件地址。”

　　該機(jī)器人正在一個(gè)Telegram聊天室出售，該聊天室目前擁有6,000多名成員，其創(chuàng)建者通過向犯罪分子出售月度訂閱服務(wù)而獲得巨額利潤。與此同時(shí)，它的用戶公開炫耀他們通過洗劫目標(biāo)銀行賬戶獲得的五位數(shù)收益。

　　Cequence Security的常駐黑客Jason Kent認(rèn)為，機(jī)器人出租服務(wù)已經(jīng)將自動化威脅市場商品化，使犯罪分子非常容易就能進(jìn)入社會工程領(lǐng)域。

　　“曾經(jīng)，威脅參與者需要知道在哪里可以找到機(jī)器人資源，如何將它們與腳本、IP地址和憑據(jù)拼湊在一起。現(xiàn)在，一些網(wǎng)絡(luò)搜索將發(fā)現(xiàn)完整的Bot-as-a-Service產(chǎn)品，我只需支付費(fèi)用即可使用機(jī)器人。對于現(xiàn)在和安全團(tuán)隊(duì)來說，這是一個(gè)適用于任何人的機(jī)器人?！薄皩τ谙M(fèi)者來說，要知道是誰打來的電話變得更難了，他們也無法像以前一樣自信地為孩子購買新游戲機(jī)?！?/p>

　　禮品卡使騙局四處擴(kuò)散

　　OTP Bot的訂戶采用的最流行的欺詐技術(shù)稱為“卡鏈接”，它將受害者的信用卡連接到他們的移動支付應(yīng)用程序帳戶，然后使用它在實(shí)體店購買禮品卡。

　　瓦雷基斯認(rèn)為：“信用卡鏈接是騙子的最愛，因?yàn)楸槐I的電話號碼和信用卡信息在黑市上相對容易獲得。”

　　“有了這些數(shù)據(jù)，威脅行為者就可以從聊天菜單中選擇一個(gè)可用的社會工程腳本，然后簡單地將受害者的信息提供給OTP Bot?！薄R丁納斯·瓦雷基斯

　　然后，通過使用偽造的來電顯示，機(jī)器人將自動撥打受害者的電話，冒充支持代理，并試圖誘騙他們發(fā)送一次性密碼，這是登錄受害者的Apple Pay或Google Pay帳戶所必需的。

　　使用被盜的一次性密碼登錄后，攻擊者可以將受害者的信用卡鏈接到支付應(yīng)用程序，然后在附近的實(shí)體店瘋狂購買禮品卡。

　　詐騙者通常使用關(guān)聯(lián)信用卡購買預(yù)付禮品卡，原因很簡單：他們不需要留下財(cái)務(wù)指紋。這在疫情期間特別方便，因?yàn)榇蠖鄶?shù)室內(nèi)空間都強(qiáng)制執(zhí)行戴口罩的規(guī)定，使犯罪分子在整個(gè)過程中更容易隱藏自己的身份。

　　在機(jī)器人Telegram頻道中，一些OTP Bot用戶吹噓自己在三天內(nèi)用受害者的關(guān)聯(lián)信用卡購買了價(jià)值數(shù)千美元的預(yù)付禮品卡，還有些用戶在展示機(jī)器人從目標(biāo)中提取密碼的速度，僅用了兩分鐘OTP Bot就成功捕獲了代碼，并將受害者的Alliant信用卡與攻擊者的Apple Pay應(yīng)用程序相關(guān)聯(lián)。不難想象機(jī)器人在24小時(shí)內(nèi)可以欺騙多少受害者。

　　但是，信用卡鏈接并不是OTP Bot支持的唯一功能。自動化社會工程工具的創(chuàng)建者吹噓他們能夠提取Gmail、Coinbase、美國銀行、Chase等的一次性密碼。

　　這個(gè)消息可靠無疑

　　雖然很難相信機(jī)器人呼叫應(yīng)用程序可以在幾分鐘內(nèi)誘使您放棄敏感信息，但OTP Bot的設(shè)計(jì)聽起來是很令人信服的。

　　CyberNews設(shè)法獲得了一個(gè)OTP Bot語音通話錄音，其中該bot偽裝成支持代理，警告潛在的受害者有未經(jīng)授權(quán)的一方請求訪問其銀行帳戶。為了阻止請求并保護(hù)帳戶安全，要求受害者撥入他們的銀行PIN。在獲得PIN后，機(jī)器人會表揚(yáng)受害者做得很好：

　　“太好了！我們已阻止此請求，您的帳戶現(xiàn)在是安全的！”——OTP機(jī)器人

　　OTP Bot然后向受害者保證，任何未經(jīng)授權(quán)的交易將在24-48小時(shí)內(nèi)自動退款，并無恥地將他們引向一個(gè)不存在的Action Fraud網(wǎng)站，以獲取“有關(guān)如何保護(hù)您的帳戶安全的社區(qū)文章”。

　　在單獨(dú)收聽錄音通話時(shí)，可以很明顯地感覺到OTP Bot的聲音是使用文本轉(zhuǎn)語音程序生成的。話雖如此，我們不能過分責(zé)怪受害者，畢竟他們很可能是在繁忙的辦公室接聽電話并將機(jī)器人誤認(rèn)為是真正的支持代理。

　　再說一次，對于某些人來說，向機(jī)器人披露他們的個(gè)人信息甚至可能也不是問題。根據(jù)Zingle 2019年的一項(xiàng)研究，20%的用戶比起真人更信任客戶支持機(jī)器人，而高達(dá)42%的用戶對機(jī)器人的信任和人類支持代理一樣。

　　越來越多的騙局和惡行

　　自4月份在Telegram上推出以來，該服務(wù)似乎正在迅速普及，特別是在過去幾周內(nèi)。在撰寫本文時(shí)，OTP Bot Telegram頻道擁有6,098名成員——僅在7天內(nèi)就增加了20%。

　　快速增長背后的原因似乎是易用性和bot-for-hire模式，這使得沒有經(jīng)驗(yàn)的甚至是第一次詐騙的騙子能夠以最少的努力和零社交互動成功地詐騙他們的受害者。

　　一些OTP Bot用戶在Telegram聊天中肆無忌憚地分享他們的成功故事，向頻道的其他成員吹噓他們是如何獲得這些不義之財(cái)?shù)摹?/p>

　　基于OTP Bot的成功，很明顯，這種新型的自動化社會工程工具只會繼續(xù)流行。

　　事實(shí)上，市場上大量新的模仿服務(wù)的出現(xiàn)只是時(shí)間問題，一定會有越來越多的騙子希望利用這些服務(wù)從毫無戒心的目標(biāo)身上快速獲利。Spyic的創(chuàng)始人Katherine Brown警告說，隨著市場上的機(jī)器人越來越多，社會工程及其濫用的可能性是無窮無盡的。布朗說：“今年我們已經(jīng)看到了自動攻擊政治目標(biāo)以推動公眾輿論的機(jī)器人出現(xiàn)。”

　　根據(jù)赫特福德大學(xué)高級網(wǎng)絡(luò)安全講師Alexios Mylonas博士的說法，由于疫情使得我們的社交互動受到了更嚴(yán)格的限制，招聘社交工程機(jī)器人正在興起，這更加令人擔(dān)憂?！皩τ谀切┎欢踩娜藖碚f尤其如此。眾所周知，威脅行為者會使用自動化和在線社會工程攻擊，這使他們能夠優(yōu)化運(yùn)營，實(shí)現(xiàn)目標(biāo)，而CyberNews團(tuán)隊(duì)已經(jīng)發(fā)現(xiàn)了另一個(gè)這樣的例子?！?/p>

　　“更令人擔(dān)憂的是，這種技術(shù)是以基于云的方式（犯罪軟件即服務(wù)）提供的，為‘腳本小子’詐騙者提供了一個(gè)更容易的切入點(diǎn)。”

　　Mylonas認(rèn)為，用戶應(yīng)該“自我教育并警惕此類威脅，使他們成為網(wǎng)絡(luò)犯罪分子更難對付的目標(biāo)”。

　　然而，Mettle的首席安全工程師Mikail Tun?認(rèn)為，公司也應(yīng)該做更多的工作來教育用戶有關(guān)數(shù)字安全的知識?！鞍踩且粋€(gè)不斷移動的目標(biāo)，傳統(tǒng)的象牙塔式安全措施現(xiàn)在早已落后?！?/p>

　　“銀行需要更多地關(guān)注如何以正確的方式持續(xù)教育客戶相關(guān)安全知識，持續(xù)教育和提高安全意識是關(guān)鍵。”——米凱爾·通奇

　　與此同時(shí)，Tun?認(rèn)為安全團(tuán)隊(duì)需要在設(shè)計(jì)應(yīng)用程序時(shí)考慮到客戶的特質(zhì)?！凹词故窃O(shè)計(jì)元素和文案也非常重要，這些因素可能是一個(gè)養(yǎng)老金領(lǐng)取者是否失去畢生儲蓄之間的關(guān)鍵?！?/p>

　　反robocalling協(xié)議：朝正確方向邁出的一步？

　　值得慶幸的是，在打擊詐騙電話和網(wǎng)絡(luò)釣魚（語音網(wǎng)絡(luò)釣魚）方面，也有一些好消息。Verizon和AT&T等主要移動運(yùn)營商開始實(shí)施STIR/SHAKEN等反機(jī)器人電話協(xié)議，使社會工程師更難偽造來電顯示和以技術(shù)支持的身份出現(xiàn)。

　　話雖如此，一些專家認(rèn)為，這些措施不會阻止詐騙者致電潛在的受害者，因此可能需要一段時(shí)間才能解決甚至大大減輕機(jī)器人電話問題。

　　Oracle Communications網(wǎng)絡(luò)安全主管Travis Russell斷言，小型電信公司沒有資源來實(shí)施反機(jī)器人電話協(xié)議，這可能會使一些用戶面臨風(fēng)險(xiǎn)。根據(jù)Russel的說法，支持STIR/SHAKEN的云服務(wù)將是小型運(yùn)營商最優(yōu)雅的解決方案，因?yàn)樗鼘⑾龑?shí)施過程中昂貴的技術(shù)要求。

　　Russel認(rèn)為：“如果將其作為軟件即服務(wù)提供，將大大降低所有運(yùn)營商的成本，并可能加速STIR/SHAKEN的實(shí)施。將其與基于云的分析平臺相結(jié)合，我們就可以很好地減輕騷擾電話的禍害?！?/p>

　　The Cyber Doctor的首席執(zhí)行官兼總裁Stephen Boyce博士認(rèn)為，像STIR/SHAKEN這樣的反機(jī)器人電話協(xié)議是朝著正確方向邁出的一步。博伊斯告訴CyberNews：“然而，大量的自動電話仍然從裂縫中溜走。對用戶進(jìn)行持續(xù)的返機(jī)器人電話欺詐教育與STIR/SHAKEN協(xié)議相結(jié)合是最佳防御措施。”

　　相比之下，Jason Kent認(rèn)為反機(jī)器人呼叫協(xié)議只不過是杯水車薪?！癝TIR/SHAKEN驗(yàn)證檢查預(yù)計(jì)在今年6月30日之前實(shí)施。你會注意到，robocalls仍然是個(gè)問題?！?/p>

　　“就在昨天，有人打電話給我，問我是否知道為什么我的號碼給他們打電話，并告訴他們他們的社會安全號碼被取消了。我告訴他們這是一個(gè)騙局，騙子偽造了我的電話號碼?！薄苌咸?/p>

　　肯特告訴CyberNews：“6月30日過去了，似乎什么都沒有發(fā)生。這些服務(wù)背后的人多年來一直在逃避法律，并且以后一定也會繼續(xù)這么做?！?/p>

　　不要上當(dāng)：如何發(fā)現(xiàn)社會工程攻擊

　　考慮到所有這些，知道如何識別社會工程企圖對于確保您的資金和個(gè)人信息安全仍然至關(guān)重要：

　　不要接聽未知號碼的電話。如果您這樣接聽了，而您并不認(rèn)識電話里詢問您個(gè)人信息的那個(gè)人，請立即掛斷。

　　永遠(yuǎn)不要泄露個(gè)人數(shù)據(jù)。這包括姓名、用戶名、電子郵件地址、密碼、PIN等數(shù)據(jù)或可用于識別您身份的任何信息。

　　慢慢來。詐騙者經(jīng)常試圖制造一種虛假的緊迫感，以迫使您透露您的信息。如果有人試圖強(qiáng)迫您做出決定，請掛斷電話或告訴他們您稍后再回電。然后撥打他們聲稱代表的公司的官方電話號碼。

　　不要相信來電顯示。詐騙者可以通過偽造姓名和電話號碼以公司或聯(lián)系人列表中某人的身份出現(xiàn)。事實(shí)上，金融服務(wù)提供商從不打電話給他們的客戶確認(rèn)他們的個(gè)人信息。如果發(fā)生可疑活動，他們只會封鎖您的帳戶，并希望您通過官方渠道與公司聯(lián)系以解決問題。因此，即使電話屏幕上的來電顯示看起來是真實(shí)的，也要始終保持警惕。