每當大規模資料洩露時,安全專家總是不厭其煩地提醒保護線上資產的重要性。比如避免使用弱密碼,或是透過密碼管理器來為每個不同的服務 / 網站 / 應用程式配備不同的唯一密碼,以及靈活應用雙因素認證(2FA)或一次性密碼(OTP)等措施。
然而,道高一尺,魔高一丈。我們又見到了一種最新的「地下雲端服務業」:可以幫你訂製客服語音機器人的雲端服務,透過這個方式,任何人都可以打造包括亞馬遜、Paypal、任何線上銀行的客服語音機器人,它們能夠自動發出偽裝成客服語音來騙取使用者的臨時驗證碼。如此一來,在受害者沒有充分意識到的情況下,他們的線上帳戶就被攻擊者取得。
當然,即使沒有用到這種新的語音機器人的幫助,雙因素認證(2FA)也不是萬無一失的,因為一些駭客可能會採取社會工程的方式,來欺騙使用者。
另一方面,客服語音機器人的攻擊手段要複雜許多,首先就是讓受害者相信,他們正在與真正的銀行或是信用卡等單位真正的自動化語音系統在對談。
為此,Motherboard 採用了一個簡單的例子來展示此類攻擊,期間收到了一通自稱來自 PayPal 防欺詐系統的來電。
自動語音告訴帳戶持有人,稱有人試圖在他的帳戶上消費特定的金額,因而系統需要驗證身份以阻止轉帳,要求使用者輸入 2FA 或是 OTP 驗證碼。
「為保護您的帳戶,我們現正給您的行動裝置發送驗證碼。在輸入一串六位數字後,語音會提示 ——「謝謝合作,您的帳戶已被保護,此請求已被阻止」。
然後為了避免使用者立即回過神來,系統還會進一步用話術欺騙使用者 ——「若您的帳戶已被扣除任何款項,請不要擔心。我們將在 24 - 48 小時內予以退還,本次記錄的編號為 1549926,通話到此結束。」
然而實際上的情況是,騙得使用者個人資料(包括真實姓名、電子郵件地址、電話號碼)的駭客,仍可利用這些資料來找到受害者他們擁有對應的 PayPal 帳戶(或任何類型的其它線上帳戶)。
Motherboard 解釋,這些是針對亞馬遜、PayPal、網銀等特定服務而特製的語音機器人,而為了打造這些語音機器人,攻擊者將擔負每月數百美元的使用成本。而這些「雲端語音機器人」從業者甚至允許駭客自定義任何類型的客服語音機器人。
作為預防措施,安全研究人員希望使用者充分意識到 2FA / OTP 語音機器人攻擊這件事的存在。凡是主動向你致電索取驗證碼的電話,都應立即掛斷並聯系正版的官方客服,必要時可臨時緊急凍結帳戶資產。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!