[[430015]]

新的研究發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪分子正在使用Telegram機(jī)器人竊取一次性密碼token(OTP)并通過(guò)銀行和在線支付系統(tǒng)(包括PayPal、Apple Pay和Google Pay)欺詐群眾。

英特爾471的研究人員在周三發(fā)布的一份報(bào)告中表示他們發(fā)現(xiàn)了該活動(dòng)，該活動(dòng)自6月以來(lái)一直在運(yùn)作。

研究人員在帖子中指出：“雙因素身份驗(yàn)證是人們保護(hù)任何在線帳戶的最簡(jiǎn)單方法之一。”“所以，犯罪分子正試圖繞過(guò)這種保護(hù)。”

研究人員表示，威脅行為者正在使用Telegram機(jī)器人和頻道以及一系列策略來(lái)獲取帳戶信息，包括致電受害者、冒充銀行和合法服務(wù)等。

他們說(shuō)，通過(guò)社會(huì)工程，威脅行為者還欺騙人們通過(guò)移動(dòng)設(shè)備向他們提供OTP或其他驗(yàn)證碼，然后騙子用這些代碼來(lái)騙取用戶賬戶中的資金。

他們?cè)趫?bào)告中寫(xiě)道：“攻擊者可以輕易使用這些機(jī)器人。”“雖然創(chuàng)建機(jī)器人需要一些編程能力，但用戶只需要花錢訪問(wèn)機(jī)器人程序，獲取目標(biāo)的電話號(hào)碼，然后點(diǎn)擊幾個(gè)按鈕。”

事實(shí)上，Telegram bot已成為網(wǎng)絡(luò)犯罪分子的流行工具，他們以各種方式利用它作為用戶欺詐的一部分。今年1月份發(fā)現(xiàn)了一個(gè)類似的活動(dòng)，名為Classiscam，在該活動(dòng)中，講俄語(yǔ)的網(wǎng)絡(luò)犯罪分子將機(jī)器人作為服務(wù)出售，目的是從歐洲受害者那里竊取金錢和支付數(shù)據(jù)。已經(jīng)發(fā)現(xiàn)其他威脅行為者以一種相當(dāng)獨(dú)特的方式使用Telegram機(jī)器人作為間諜軟件的命令和控制。

在本例中，英特爾471研究人員觀察并分析了三個(gè)機(jī)器人的活動(dòng)，它們分別是SMSRanger、BloodOTPbot和SMS Buster。

易于使用的機(jī)器人即服務(wù)

據(jù)該帖子稱，研究人員將SMSRanger描述為“易于使用”。他們解釋說(shuō)，參與者付費(fèi)訪問(wèn)機(jī)器人，然后可以通過(guò)輸入命令來(lái)使用它，這與在廣泛使用的勞動(dòng)力協(xié)作平臺(tái)Slack上使用機(jī)器人的方式類似。

研究人員寫(xiě)道：“一個(gè)簡(jiǎn)單的斜線命令允許用戶啟用各種‘模式’——針對(duì)各種服務(wù)的腳本——可以針對(duì)特定銀行，以及PayPal、Apple Pay、Google Pay或無(wú)線運(yùn)營(yíng)商。”

研究人員說(shuō)，SMSRanger會(huì)向潛在受害者發(fā)送一條短信，詢問(wèn)其電話號(hào)碼。一旦在聊天消息中輸入了目標(biāo)的電話號(hào)碼，機(jī)器人就會(huì)從那里接管，“最終允許網(wǎng)絡(luò)犯罪分子訪問(wèn)任何目標(biāo)帳戶”。

研究人員補(bǔ)充說(shuō)，大約80%的SMSRanger目標(biāo)用戶最終會(huì)向威脅行為者提供他們完整和準(zhǔn)確的信息，使他們能夠成功欺騙這些受害者。

冒充受信任的公司

與此同時(shí)研究人員還指出，BloodTPbot還可以通過(guò)短信向用戶發(fā)送欺詐性O(shè)TP代碼。然而，這個(gè)機(jī)器人需要攻擊者偽造受害者的電話號(hào)碼并冒充銀行或公司代表。

該機(jī)器人試圖呼叫受害者并使用社會(huì)工程技術(shù)從目標(biāo)用戶那里獲取驗(yàn)證碼。研究人員解釋說(shuō)，攻擊者將在通話期間收到機(jī)器人的通知，指定在身份驗(yàn)證過(guò)程中何時(shí)請(qǐng)求OTP。一旦受害者收到OTP并在手機(jī)鍵盤上輸入，機(jī)器人就會(huì)將代碼發(fā)送給操作員。

BloodTPbot的月費(fèi)為300美元，用戶還可以多支付20到100美元來(lái)訪問(wèn)針對(duì)社交媒體網(wǎng)絡(luò)帳戶的實(shí)時(shí)網(wǎng)絡(luò)釣魚(yú)面板，包括Facebook、Instagram和Snapchat;PayPal和Venmo等金融服務(wù);投資應(yīng)用Robinhood;加密貨幣市場(chǎng)Coinbase。

偽裝成銀行

他們說(shuō)，研究人員觀察到的第三個(gè)機(jī)器人，SMS Buster，需要付出更多的努力才能讓威脅參與者訪問(wèn)某人的帳戶信息。

研究人員表示，該機(jī)器人提供了選項(xiàng)，使得攻擊者可以偽裝從任何電話號(hào)碼撥打的電話，使其看起來(lái)像是來(lái)自特定銀行的合法聯(lián)系人。在呼叫潛在受害者后，攻擊者會(huì)按照腳本試圖欺騙目標(biāo)提供諸如ATM卡PIN、信用卡驗(yàn)證值(CVV)或OTP等信息。

他們說(shuō)，研究人員觀察到威脅行為者使用SMS Buster攻擊加拿大受害者及其銀行賬戶。在撰寫(xiě)這篇文章時(shí)，英特爾471研究人員目睹了攻擊者使用SMS Buster非法訪問(wèn)了八家不同加拿大銀行的賬戶。

研究人員總結(jié)道：“總體而言，機(jī)器人程序表明某些形式的雙因素身份驗(yàn)證可能有其自身的安全風(fēng)險(xiǎn)。”“雖然基于短信和電話的OTP服務(wù)總比沒(méi)有好，但顯然犯罪分子已經(jīng)找到了繞過(guò)保障措施的社會(huì)工程方法。”

本文翻譯自：https://threatpost.com/telegram-bots-compromise-paypal/175099/如若轉(zhuǎn)載，請(qǐng)注明原文地址。