雙重認證為網路犯罪分子設置了障礙。不幸的是,駭客已經找到了一種透過獲取發送給用戶的安全代碼來繞過安全機制的方法。為了實現他們的目標,他們使用由人工智慧驅動的 OTP 機器人。解釋。
最近幾年,雙重身份驗證已在線上平台上廣泛建立自己的地位。此安全機制包括添加第二個身份驗證因素存取您的帳戶。除了傳統密碼之外,您還需要提供透過簡訊、電子郵件或透過 Google Authenticator 等應用程式發送的程式碼。即使您的密碼已洩露,該機制也可以保護您的帳戶。
許多網路使用者已經採用了這種額外的保護層。思科於 2021 年進行的一項研究表明幾乎80%的用戶使用雙重認證來保護自己免受網路攻擊。毫不奇怪,身份驗證通常是為被認為最敏感的帳戶(例如銀行帳戶)配置的。在 85% 的情況下,用戶選擇透過簡訊接收代碼。對思科來說,雙重認證是一種有效的保護措施“共同威脅”。
另請閱讀:為什麼資料外洩浪潮可能席捲網絡
起點:受損數據
不幸的是,網路犯罪分子已經找到了繞過雙重認證的方法。卡巴斯基調查顯示,駭客已逐漸發展出網路釣魚策略來繞過這一點“線上安全標準”。簡而言之,騙子想像的“鼓勵用戶透露的方法”驗證碼一般透過簡訊發送。借助此程式碼和上游洩漏的憑證,駭客可以存取該帳戶。
首先,攻擊者將獲取您的憑證。海盜可以藉鏡洩漏的資料庫在畫布上。請注意,專家也注意到今年頭幾個月資料外洩激增。根據 Surfshark 的一項研究,全球資料外洩數量增加了 435%在一個季度的空間裡。
他們還可以在網路釣魚攻擊期間自行竊取您的資訊。資料恢復後,他們將嘗試連接到目標帳戶,這將觸發透過簡訊發送安全代碼。用戶將收到一個他未通過訊息請求的代碼。
一個令人信服的機器人來誘騙用戶
為了獲得這個寶貴的程式碼,網路犯罪分子將使用聯合國機器人OTP(一次性密碼)。這將撥打受害者收到連接代碼的電話號碼。同樣,電話號碼可能是透過資料外洩事先獲得的。機器人會假裝是“受信任組織的代表””,卡巴斯基解釋道。它將遵循預先編寫的腳本,說服目標傳達智慧型手機上收到的安全代碼。駭客可以使用各種不同的腳本,並根據需要進行自訂。
「這些是詐騙者所依賴的電話,因為驗證碼僅在有限時間內有效。一條訊息可能會在一段時間內得不到回應””,卡巴斯基解釋道。
為了麻痺受害者的警覺性,機器人可以模仿“合法上訴的語氣和緊迫性”,“模仿不同的組織,以多種語言運作,甚至可以在男性和女性聲音之間進行選擇”。毫不奇怪,所有的聲音都是由生成人工智慧生成。網路犯罪分子嚴重依賴人工智慧來改進他們的策略。
身分可能被盜的實體包括銀行、支付系統、線上商店、雲端服務、送貨服務、加密貨幣交換和電子郵件服務。最重要的是,他們甚至可以欺騙組織的電話號碼。透過在智慧型手機上查看官方號碼,用戶很可能會落入網路犯罪分子設定的網路中。據卡巴斯基稱,機器人隨後將傳送代碼給網路犯罪者。利用憑證和安全代碼,攻擊者能夠登入目標帳號。
許多 OTP 機器人可以在駭客經常光顧的線上犯罪市場或 Telegram 頻道上找到。這些優惠透過訂閱提供(每週 140 美元起),通常有「24/7 技術支援」。此外,配置經常使用 Telegram 的機器人也是小菜一碟。無需成為電腦專家或編寫任何程式碼即可對機器人進行程式設計。
來源 : 卡巴斯基
