CyberNews研究人員發現了一種新型自動化社會工程工具，可以從美國、英國和加拿大的用戶中提取一次性密碼（OTP）。所謂的OTP Bot可以誘騙受害者向他們的銀行賬戶、電子郵件和其他在線服務發送犯罪密碼——所有這些都不需要與受害者直接互動。

　　接到偽裝成技術支持代理的騙子的電話很讓人覺得厭煩。對于潛在的受害者來說，聽有人試圖利用他們的善意來欺詐他們，這當然是很讓人討厭的。對于詐騙者來說，這甚至可能是乏味的——每天給數百人打電話可能會使詐騙看起來像是實際工作。

　　但是，從現在開始事情不再是這樣了。現在，騙子似乎已經改變了傳統的做法，因為一種新型的可出租機器人正在席卷社會工程世界。

　　Meet OTP Bot：一種新型的惡意Telegram機器人，旨在用機器人呼叫毫無戒心的受害者，并誘使他們放棄一次性密碼，然后騙子使用這些密碼訪問并清空他們的銀行賬戶。更糟糕的是，這個新型機器人的用戶群在最近幾周內不斷增長，達到數千人。

　　關鍵要點

　　該機器人可以在幾分鐘內從受害者那里提取一次性密碼。

　　OTP Bot可以竊取加密貨幣交易所、銀行和其他在線服務（如Gmail、Coinbase、美國銀行、Alliant、Chase等）的OTP。

　　CyberNews獲得了該機器人的通話錄音，其中揭示了OTP Bot的社會工程技術。

　　OTP機器人Telegram頻道發展迅速，每天都有數百名新的潛在詐騙者加入。

　　OTP機器人的工作原理

　　根據CyberNews研究員Martynas Vareikis的說法，OTP Bot是不斷增長的犯罪軟件即服務模型的最新例子，網絡犯罪分子將惡意工具和服務出租給愿意付費的任何人。

　　購買后，OTP Bot允許其用戶通過將目標的電話號碼以及威脅行為者可能從數據泄露或黑市中獲得的任何其他信息直接輸入到機器人的Telegram聊天窗口中，從而從毫無戒心的受害者那里獲取一次性密碼。Vareikis說：“根據威脅行為者希望利用的服務，這些附加信息可能只包括受害者的電子郵件地址。”

　　該機器人正在一個Telegram聊天室出售，該聊天室目前擁有6,000多名成員，其創建者通過向犯罪分子出售月度訂閱服務而獲得巨額利潤。與此同時，它的用戶公開炫耀他們通過洗劫目標銀行賬戶獲得的五位數收益。

　　Cequence Security的常駐黑客Jason Kent認為，機器人出租服務已經將自動化威脅市場商品化，使犯罪分子非常容易就能進入社會工程領域。

　　“曾經，威脅參與者需要知道在哪里可以找到機器人資源，如何將它們與腳本、IP地址和憑據拼湊在一起。現在，一些網絡搜索將發現完整的Bot-as-a-Service產品，我只需支付費用即可使用機器人。對于現在和安全團隊來說，這是一個適用于任何人的機器人。”“對于消費者來說，要知道是誰打來的電話變得更難了，他們也無法像以前一樣自信地為孩子購買新游戲機。”

　　禮品卡使騙局四處擴散

　　OTP Bot的訂戶采用的最流行的欺詐技術稱為“卡鏈接”，它將受害者的信用卡連接到他們的移動支付應用程序帳戶，然后使用它在實體店購買禮品卡。

　　瓦雷基斯認為：“信用卡鏈接是騙子的最愛，因為被盜的電話號碼和信用卡信息在黑市上相對容易獲得。”

　　“有了這些數據，威脅行為者就可以從聊天菜單中選擇一個可用的社會工程腳本，然后簡單地將受害者的信息提供給OTP Bot。”——馬丁納斯·瓦雷基斯

　　然后，通過使用偽造的來電顯示，機器人將自動撥打受害者的電話，冒充支持代理，并試圖誘騙他們發送一次性密碼，這是登錄受害者的Apple Pay或Google Pay帳戶所必需的。

　　使用被盜的一次性密碼登錄后，攻擊者可以將受害者的信用卡鏈接到支付應用程序，然后在附近的實體店瘋狂購買禮品卡。

　　詐騙者通常使用關聯信用卡購買預付禮品卡，原因很簡單：他們不需要留下財務指紋。這在疫情期間特別方便，因為大多數室內空間都強制執行戴口罩的規定，使犯罪分子在整個過程中更容易隱藏自己的身份。

　　在機器人Telegram頻道中，一些OTP Bot用戶吹噓自己在三天內用受害者的關聯信用卡購買了價值數千美元的預付禮品卡，還有些用戶在展示機器人從目標中提取密碼的速度，僅用了兩分鐘OTP Bot就成功捕獲了代碼，并將受害者的Alliant信用卡與攻擊者的Apple Pay應用程序相關聯。不難想象機器人在24小時內可以欺騙多少受害者。

　　但是，信用卡鏈接并不是OTP Bot支持的唯一功能。自動化社會工程工具的創建者吹噓他們能夠提取Gmail、Coinbase、美國銀行、Chase等的一次性密碼。

　　這個消息可靠無疑

　　雖然很難相信機器人呼叫應用程序可以在幾分鐘內誘使您放棄敏感信息，但OTP Bot的設計聽起來是很令人信服的。

　　CyberNews設法獲得了一個OTP Bot語音通話錄音，其中該bot偽裝成支持代理，警告潛在的受害者有未經授權的一方請求訪問其銀行帳戶。為了阻止請求并保護帳戶安全，要求受害者撥入他們的銀行PIN。在獲得PIN后，機器人會表揚受害者做得很好：

　　“太好了！我們已阻止此請求，您的帳戶現在是安全的！”——OTP機器人

　　OTP Bot然后向受害者保證，任何未經授權的交易將在24-48小時內自動退款，并無恥地將他們引向一個不存在的Action Fraud網站，以獲取“有關如何保護您的帳戶安全的社區文章”。

　　在單獨收聽錄音通話時，可以很明顯地感覺到OTP Bot的聲音是使用文本轉語音程序生成的。話雖如此，我們不能過分責怪受害者，畢竟他們很可能是在繁忙的辦公室接聽電話并將機器人誤認為是真正的支持代理。

　　再說一次，對于某些人來說，向機器人披露他們的個人信息甚至可能也不是問題。根據Zingle 2019年的一項研究，20%的用戶比起真人更信任客戶支持機器人，而高達42%的用戶對機器人的信任和人類支持代理一樣。

　　越來越多的騙局和惡行

　　自4月份在Telegram上推出以來，該服務似乎正在迅速普及，特別是在過去幾周內。在撰寫本文時，OTP Bot Telegram頻道擁有6,098名成員——僅在7天內就增加了20%。

　　快速增長背后的原因似乎是易用性和bot-for-hire模式，這使得沒有經驗的甚至是第一次詐騙的騙子能夠以最少的努力和零社交互動成功地詐騙他們的受害者。

　　一些OTP Bot用戶在Telegram聊天中肆無忌憚地分享他們的成功故事，向頻道的其他成員吹噓他們是如何獲得這些不義之財的。

　　基于OTP Bot的成功，很明顯，這種新型的自動化社會工程工具只會繼續流行。

　　事實上，市場上大量新的模仿服務的出現只是時間問題，一定會有越來越多的騙子希望利用這些服務從毫無戒心的目標身上快速獲利。Spyic的創始人Katherine Brown警告說，隨著市場上的機器人越來越多，社會工程及其濫用的可能性是無窮無盡的。布朗說：“今年我們已經看到了自動攻擊政治目標以推動公眾輿論的機器人出現。”

　　根據赫特福德大學高級網絡安全講師Alexios Mylonas博士的說法，由于疫情使得我們的社交互動受到了更嚴格的限制，招聘社交工程機器人正在興起，這更加令人擔憂。“對于那些不懂安全的人來說尤其如此。眾所周知，威脅行為者會使用自動化和在線社會工程攻擊，這使他們能夠優化運營，實現目標，而CyberNews團隊已經發現了另一個這樣的例子。”

　　“更令人擔憂的是，這種技術是以基于云的方式（犯罪軟件即服務）提供的，為‘腳本小子’詐騙者提供了一個更容易的切入點。”

　　Mylonas認為，用戶應該“自我教育并警惕此類威脅，使他們成為網絡犯罪分子更難對付的目標”。

　　然而，Mettle的首席安全工程師Mikail Tun?認為，公司也應該做更多的工作來教育用戶有關數字安全的知識。“安全是一個不斷移動的目標，傳統的象牙塔式安全措施現在早已落后。”

　　“銀行需要更多地關注如何以正確的方式持續教育客戶相關安全知識，持續教育和提高安全意識是關鍵。”——米凱爾·通奇

　　與此同時，Tun?認為安全團隊需要在設計應用程序時考慮到客戶的特質。“即使是設計元素和文案也非常重要，這些因素可能是一個養老金領取者是否失去畢生儲蓄之間的關鍵。”

　　反robocalling協議：朝正確方向邁出的一步？

　　值得慶幸的是，在打擊詐騙電話和網絡釣魚（語音網絡釣魚）方面，也有一些好消息。Verizon和AT&T等主要移動運營商開始實施STIR/SHAKEN等反機器人電話協議，使社會工程師更難偽造來電顯示和以技術支持的身份出現。

　　話雖如此，一些專家認為，這些措施不會阻止詐騙者致電潛在的受害者，因此可能需要一段時間才能解決甚至大大減輕機器人電話問題。

　　Oracle Communications網絡安全主管Travis Russell斷言，小型電信公司沒有資源來實施反機器人電話協議，這可能會使一些用戶面臨風險。根據Russel的說法，支持STIR/SHAKEN的云服務將是小型運營商最優雅的解決方案，因為它將消除實施過程中昂貴的技術要求。

　　Russel認為：“如果將其作為軟件即服務提供，將大大降低所有運營商的成本，并可能加速STIR/SHAKEN的實施。將其與基于云的分析平臺相結合，我們就可以很好地減輕騷擾電話的禍害。”

　　The Cyber Doctor的首席執行官兼總裁Stephen Boyce博士認為，像STIR/SHAKEN這樣的反機器人電話協議是朝著正確方向邁出的一步。博伊斯告訴CyberNews：“然而，大量的自動電話仍然從裂縫中溜走。對用戶進行持續的返機器人電話欺詐教育與STIR/SHAKEN協議相結合是最佳防御措施。”

　　相比之下，Jason Kent認為反機器人呼叫協議只不過是杯水車薪。“STIR/SHAKEN驗證檢查預計在今年6月30日之前實施。你會注意到，robocalls仍然是個問題。”

　　“就在昨天，有人打電話給我，問我是否知道為什么我的號碼給他們打電話，并告訴他們他們的社會安全號碼被取消了。我告訴他們這是一個騙局，騙子偽造了我的電話號碼。”——杰森肯特

　　肯特告訴CyberNews：“6月30日過去了，似乎什么都沒有發生。這些服務背后的人多年來一直在逃避法律，并且以后一定也會繼續這么做。”

　　不要上當：如何發現社會工程攻擊

　　考慮到所有這些，知道如何識別社會工程企圖對于確保您的資金和個人信息安全仍然至關重要：

　　不要接聽未知號碼的電話。如果您這樣接聽了，而您并不認識電話里詢問您個人信息的那個人，請立即掛斷。

　　永遠不要泄露個人數據。這包括姓名、用戶名、電子郵件地址、密碼、PIN等數據或可用于識別您身份的任何信息。

　　慢慢來。詐騙者經常試圖制造一種虛假的緊迫感，以迫使您透露您的信息。如果有人試圖強迫您做出決定，請掛斷電話或告訴他們您稍后再回電。然后撥打他們聲稱代表的公司的官方電話號碼。

　　不要相信來電顯示。詐騙者可以通過偽造姓名和電話號碼以公司或聯系人列表中某人的身份出現。事實上，金融服務提供商從不打電話給他們的客戶確認他們的個人信息。如果發生可疑活動，他們只會封鎖您的帳戶，并希望您通過官方渠道與公司聯系以解決問題。因此，即使電話屏幕上的來電顯示看起來是真實的，也要始終保持警惕。