双因素身份验证是保护您在线帐户的好方法,我们始终建议您打开它。但是在用户墙壁上,你可以确定有网络犯罪分子试图打破它们。

昨天,安全情报公司英特尔147,揭示了它注意到威胁演员中的活动的高度,可以在绕线的电报中提供服务双因素身份验证(2 fa)方法。这些服务包括打电话给目标受害者,让他们看起来来自银行,并通过社交手段让他们向机器人操作员提供一次性密码(OTP)或其他验证码。

其他服务目标“其他流行的社交媒体平台或金融服务,提供电子邮件网络钓鱼和SIM交换能力。“

英特尔147自6月以来一直在观察这些活动,如这些开始运营的服务。

“(他们)要么通过Telegram机器人运营,要么通过Telegram渠道为客户提供支持,”英特尔147写道,“在这些支持渠道中,用户经常在使用机器人时分享他们的成功,经常从受害者账户中带走数千美元。”

根据英特尔147的数据,两种机器人正成为犯罪分子的最爱,它们是SMSRanger和BloodOTPbot。研究人员提到了另一款名为“短信终结者”的机器人,但研究人员表示,操作它需要威胁行为者付出更多努力。

威胁演员在Telegram频道展示他们使用SMSRanger机器人的成果(来源:英特尔147博客)
命令威胁演员可以关键使用SMSRanger,这被认为是“非常易于使用”并且具有80%的效率。
(资料来源:英特尔147博客)

那些想要操作这些机器人的人预计每月要支付300美元。对于机器人之外的额外服务,他们需要额外支付20- 100美元。

2FA不是万无一失的

这些2FA威胁只会进一步突出我们已经知道的基于短信和基于电话的身份验证OTP方法的问题:它们有很容易被威胁参与者利用的弱点。

毫无疑问:使用2FA仍然比不使用要好。但是,如果企业开始使用更好的认证方法,如基于时间的一次性密码(TOTP)代码,例如:谷歌认证器和认证-或推送通知-例如。Okta或者duo——那么这样的机器人就不是什么大问题了。

要做什么

如果你已经把你的OTP发给了你现在认为是骗子的人,打电话给你的银行并报告它。请注意,这可能是一个银行从未听说过的新计划,所以请尽力解释发生了什么。记住,越多的人报告相同或类似的情况,银行就越会意识到欺诈企图。

与朋友和家人分享您的经验,以提高对此事的认识,以防止他们落下同一伎俩。

记住,你的银行不会打电话给你要求你的otp -所以如果你以后收到类似的请求,直接挂电话就行了。

相信我们:他们不会认为你是粗鲁的。

保持安全!