[[433815]]

每當(dāng)大規(guī)模數(shù)據(jù)泄露登上新聞頭條時，安全專家總是不厭其煩地提醒保護(hù)線上資產(chǎn)的重要性。比如避免使用弱密碼，借助靠譜的密碼管理器，為每個不同的服務(wù) / 網(wǎng)站 / 應(yīng)用程序配備不同的唯一密碼，以及靈活應(yīng)用雙因素身份驗(yàn)證(2FA)或一次性密碼(OTP)等措施。然而近日，我們又見到了一種新鮮出爐的高效定制語音機(jī)器人。它們能夠自動發(fā)出呼叫，以騙取用戶的臨時驗(yàn)證碼。

視頻截圖(via Metamask Giveaways)

如此一來，在受害者沒有充分意識到的情況下，他們的線上賬戶或數(shù)字資產(chǎn)就已被攻擊者染指。

當(dāng)然，即使沒有用到這種新穎的語音機(jī)器人討論，雙因素身份驗(yàn)證(2FA)也不是萬無一失的，因?yàn)橐恍┖诳涂赡軙扇∩绻な侄蝸砗鲇朴脩簟?/p>

另一方面，語音機(jī)器人的攻擊手段要復(fù)雜許多，首先就是讓受害者相信他們正在與其想要滲透的相關(guān)服務(wù)的自動化安全系統(tǒng)交談。

為此，Motherboard 借用了一個簡單的例子來演示此類攻擊，期間收到了一通自稱來自 PayPal 防欺詐系統(tǒng)的來電。

OTP bot - cashout bank logs，apple pay(via)

自動語音告訴賬戶持有人，稱有人試圖消費(fèi)特定的金額，因而系統(tǒng)需要驗(yàn)證身份以阻止轉(zhuǎn)賬，從而騙取 2FA / OTP 驗(yàn)證碼。

然而現(xiàn)實(shí)是，騙得用戶個人數(shù)據(jù)(包括真實(shí)姓名、電子郵件地址、電話號碼)的黑客，仍可利用這些數(shù)據(jù)來確定他們是否擁有對應(yīng)地址的 PayPal 賬戶(或任何類型的其它線上賬戶)。

Motherboard 解釋稱，為了定制這些針對亞馬遜、PayPal、網(wǎng)銀等特定服務(wù)的機(jī)器人，攻擊者將擔(dān)負(fù)每月數(shù)百美元的使用成本，灰產(chǎn)從業(yè)者甚至允許黑客自定義任何類型的機(jī)器人呼叫體驗(yàn)。

作為預(yù)防措施，安全研究人員希望用戶充分意識到 2FA / OTP 語音機(jī)器人攻擊這件事的存在。凡是主動向你致電索取驗(yàn)證碼的電話，都應(yīng)立即掛斷并聯(lián)系正版的官方客服，必要時可臨時緊急凍結(jié)賬戶資產(chǎn)。