山寨客服机器人也能订阅,骇客可用来打造山寨亚马逊客服语音以骗取双因素验证码

每当大规模资料泄露时,安全专家总是不厌其烦地提醒保护线上资产的重要性。比如避免使用弱密码,或是透过密码管理器来为每个不同的服务 / 网站 / 应用程式配备不同的唯一密码,以及灵活应用双因素认证(2FA)或一次性密码(OTP)等措施。

然而,道高一尺,魔高一丈。我们又见到了一种最新的「地下云端服务业」:可以帮你订制客服语音机器人的云端服务,透过这个方式,任何人都可以打造包括亚马逊、Paypal、任何线上银行的客服语音机器人,它们能够自动发出伪装成客服语音来骗取使用者的临时验证码。如此一来,在受害者没有充分意识到的情况下,他们的线上帐户就被攻击者取得。

 

当然,即使没有用到这种新的语音机器人的帮助,双因素认证(2FA)也不是万无一失的,因为一些骇客可能会采取社会工程的方式,来欺骗使用者。

另一方面,客服语音机器人的攻击手段要复杂许多,首先就是让受害者相信,他们正在与真正的银行或是信用卡等单位真正的自动化语音系统在对谈。

为此,Motherboard 采用了一个简单的例子来展示此类攻击,期间收到了一通自称来自 PayPal 防欺诈系统的来电。

自动语音告诉帐户持有人,称有人试图在他的帐户上消费特定的金额,因而系统需要验证身份以阻止转帐,要求使用者输入 2FA 或是 OTP 验证码。

「为保护您的帐户,我们现正给您的行动装置发送验证码。在输入一串六位数字后,语音会提示 ——「谢谢合作,您的帐户已被保护,此请求已被阻止」。

然后为了避免使用者立即回过神来,系统还会进一步用话术欺骗使用者 ——「若您的帐户已被扣除任何款项,请不要担心。我们将在 24 - 48 小时内予以退还,本次记录的编号为 1549926,通话到此结束。」

然而实际上的情况是,骗得使用者个人资料(包括真实姓名、电子邮件地址、电话号码)的骇客,仍可利用这些资料来找到受害者他们拥有对应的 PayPal 帐户(或任何类型的其它线上帐户)。

Motherboard 解释,这些是针对亚马逊、PayPal、网银等特定服务而特制的语音机器人,而为了打造这些语音机器人,攻击者将担负每月数百美元的使用成本。而这些「云端语音机器人」从业者甚至允许骇客自定义任何类型的客服语音机器人。

作为预防措施,安全研究人员希望使用者充分意识到 2FA / OTP 语音机器人攻击这件事的存在。凡是主动向你致电索取验证码的电话,都应立即挂断并联系正版的官方客服,必要时可临时紧急冻结帐户资产。

 

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。