CyberNews研究人员发现了一种新型自动化社会工程工具，可以从美国、英国和加拿大的用户中提取一次性密码(OTP)。所谓的OTP Bot可以诱骗受害者向他们的银行账户、电子邮件和其他在线服务发送犯罪密码——所有这些都不需要与受害者直接互动。

接到伪装成技术支持代理的骗子的电话很让人觉得厌烦。对于潜在的受害者来说，听有人试图利用他们的善意来欺诈他们，这当然是很让人讨厌的。对于诈骗者来说，这甚至可能是乏味的——每天给数百人打电话可能会使诈骗看起来像是实际工作。

但是，从现在开始事情不再是这样了。现在，骗子似乎已经改变了传统的做法，因为一种新型的可出租机器人正在席卷社会工程世界。

Meet OTP Bot：一种新型的恶意Telegram机器人，旨在用机器人呼叫毫无戒心的受害者，并诱使他们放弃一次性密码，然后骗子使用这些密码访问并清空他们的银行账户。更糟糕的是，这个新型机器人的用户群在最近几周内不断增长，达到数千人。

关键要点

该机器人可以在几分钟内从受害者那里提取一次性密码。

OTP Bot可以窃取加密货币交易所、银行和其他在线服务(如Gmail、Coinbase、美国银行、Alliant、Chase等)的OTP。

CyberNews获得了该机器人的通话录音，其中揭示了OTP Bot的社会工程技术。

OTP机器人Telegram频道发展迅速，每天都有数百名新的潜在诈骗者加入。

OTP机器人的工作原理

根据CyberNews研究员Martynas Vareikis的说法，OTP Bot是不断增长的犯罪软件即服务模型的最新例子，网络犯罪分子将恶意工具和服务出租给愿意付费的任何人。

购买后，OTP Bot允许其用户通过将目标的电话号码以及威胁行为者可能从数据泄露或黑市中获得的任何其他信息直接输入到机器人的Telegram聊天窗口中，从而从毫无戒心的受害者那里获取一次性密码。Vareikis说：“根据威胁行为者希望利用的服务，这些附加信息可能只包括受害者的电子邮件地址。”

该机器人正在一个Telegram聊天室出售，该聊天室目前拥有6,000多名成员，其创建者通过向犯罪分子出售月度订阅服务而获得巨额利润。与此同时，它的用户公开炫耀他们通过洗劫目标银行账户获得的五位数收益。

Cequence Security的常驻黑客Jason Kent认为，机器人出租服务已经将自动化威胁市场商品化，使犯罪分子非常容易就能进入社会工程领域。

“曾经，威胁参与者需要知道在哪里可以找到机器人资源，如何将它们与脚本、IP地址和凭据拼凑在一起。现在，一些网络搜索将发现完整的Bot-as-a-Service产品，我只需支付费用即可使用机器人。对于现在和安全团队来说，这是一个适用于任何人的机器人。”“对于消费者来说，要知道是谁打来的电话变得更难了，他们也无法像以前一样自信地为孩子购买新游戏机。”

礼品卡使骗局四处扩散

OTP Bot的订户采用的最流行的欺诈技术称为“卡链接”，它将受害者的信用卡连接到他们的移动支付应用程序帐户，然后使用它在实体店购买礼品卡。

瓦雷基斯认为：“信用卡链接是骗子的最爱，因为被盗的电话号码和信用卡信息在黑市上相对容易获得。”

“有了这些数据，威胁行为者就可以从聊天菜单中选择一个可用的社会工程脚本，然后简单地将受害者的信息提供给OTP Bot。”——马丁纳斯·瓦雷基斯

然后，通过使用伪造的来电显示，机器人将自动拨打受害者的电话，冒充支持代理，并试图诱骗他们发送一次性密码，这是登录受害者的Apple Pay或Google Pay帐户所必需的。

使用被盗的一次性密码登录后，攻击者可以将受害者的信用卡链接到支付应用程序，然后在附近的实体店疯狂购买礼品卡。

诈骗者通常使用关联信用卡购买预付礼品卡，原因很简单：他们不需要留下财务指纹。这在疫情期间特别方便，因为大多数室内空间都强制执行戴口罩的规定，使犯罪分子在整个过程中更容易隐藏自己的身份。

在机器人Telegram频道中，一些OTP Bot用户吹嘘自己在三天内用受害者的关联信用卡购买了价值数千美元的预付礼品卡，还有些用户在展示机器人从目标中提取密码的速度，仅用了两分钟OTP Bot就成功捕获了代码，并将受害者的Alliant信用卡与攻击者的Apple Pay应用程序相关联。不难想象机器人在24小时内可以欺骗多少受害者。

但是，信用卡链接并不是OTP Bot支持的唯一功能。自动化社会工程工具的创建者吹嘘他们能够提取Gmail、Coinbase、美国银行、Chase等的一次性密码。

这个消息可靠无疑

虽然很难相信机器人呼叫应用程序可以在几分钟内诱使您放弃敏感信息，但OTP Bot的设计听起来是很令人信服的。

CyberNews设法获得了一个OTP Bot语音通话录音，其中该bot伪装成支持代理，警告潜在的受害者有未经授权的一方请求访问其银行帐户。为了阻止请求并保护帐户安全，要求受害者拨入他们的银行PIN。在获得PIN后，机器人会表扬受害者做得很好：

“太好了!我们已阻止此请求，您的帐户现在是安全的!”——OTP机器人

OTP Bot然后向受害者保证，任何未经授权的交易将在24-48小时内自动退款，并无耻地将他们引向一个不存在的Action Fraud网站，以获取“有关如何保护您的帐户安全的社区文章”。

在单独收听录音通话时，可以很明显地感觉到OTP Bot的声音是使用文本转语音程序生成的。话虽如此，我们不能过分责怪受害者，毕竟他们很可能是在繁忙的办公室接听电话并将机器人误认为是真正的支持代理。

再说一次，对于某些人来说，向机器人披露他们的个人信息甚至可能也不是问题。根据Zingle 2019年的一项研究，20%的用户比起真人更信任客户支持机器人，而高达42%的用户对机器人的信任和人类支持代理一样。

越来越多的骗局和恶行

自4月份在Telegram上推出以来，该服务似乎正在迅速普及，特别是在过去几周内。在撰写本文时，OTP Bot Telegram频道拥有6,098名成员——仅在7天内就增加了20%。

快速增长背后的原因似乎是易用性和bot-for-hire模式，这使得没有经验的甚至是第一次诈骗的骗子能够以最少的努力和零社交互动成功地诈骗他们的受害者。

一些OTP Bot用户在Telegram聊天中肆无忌惮地分享他们的成功故事，向频道的其他成员吹嘘他们是如何获得这些不义之财的。

基于OTP Bot的成功，很明显，这种新型的自动化社会工程工具只会继续流行。

事实上，市场上大量新的模仿服务的出现只是时间问题，一定会有越来越多的骗子希望利用这些服务从毫无戒心的目标身上快速获利。Spyic的创始人Katherine Brown警告说，随着市场上的机器人越来越多，社会工程及其滥用的可能性是无穷无尽的。布朗说：“今年我们已经看到了自动攻击政治目标以推动公众舆论的机器人出现。”

根据赫特福德大学高级网络安全讲师Alexios Mylonas博士的说法，由于疫情使得我们的社交互动受到了更严格的限制，招聘社交工程机器人正在兴起，这更加令人担忧。“对于那些不懂安全的人来说尤其如此。众所周知，威胁行为者会使用自动化和在线社会工程攻击，这使他们能够优化运营，实现目标，而CyberNews团队已经发现了另一个这样的例子。”

“更令人担忧的是，这种技术是以基于云的方式(犯罪软件即服务)提供的，为‘脚本小子’诈骗者提供了一个更容易的切入点。”

Mylonas认为，用户应该“自我教育并警惕此类威胁，使他们成为网络犯罪分子更难对付的目标”。

然而，Mettle的首席安全工程师Mikail Tunç认为，公司也应该做更多的工作来教育用户有关数字安全的知识。“安全是一个不断移动的目标，传统的象牙塔式安全措施现在早已落后。”

“银行需要更多地关注如何以正确的方式持续教育客户相关安全知识，持续教育和提高安全意识是关键。”——米凯尔·通奇

与此同时，Tunç认为安全团队需要在设计应用程序时考虑到客户的特质。“即使是设计元素和文案也非常重要，这些因素可能是一个养老金领取者是否失去毕生储蓄之间的关键。”

反robocalling协议：朝正确方向迈出的一步?

值得庆幸的是，在打击诈骗电话和网络钓鱼(语音网络钓鱼)方面，也有一些好消息。Verizon和AT&T等主要移动运营商开始实施STIR/SHAKEN等反机器人电话协议，使社会工程师更难伪造来电显示和以技术支持的身份出现。

话虽如此，一些专家认为，这些措施不会阻止诈骗者致电潜在的受害者，因此可能需要一段时间才能解决甚至大大减轻机器人电话问题。

Oracle Communications网络安全主管Travis Russell断言，小型电信公司没有资源来实施反机器人电话协议，这可能会使一些用户面临风险。根据Russel的说法，支持STIR/SHAKEN的云服务将是小型运营商最优雅的解决方案，因为它将消除实施过程中昂贵的技术要求。

Russel认为：“如果将其作为软件即服务提供，将大大降低所有运营商的成本，并可能加速STIR/SHAKEN的实施。将其与基于云的分析平台相结合，我们就可以很好地减轻骚扰电话的祸害。”

The Cyber Doctor的首席执行官兼总裁Stephen Boyce博士认为，像STIR/SHAKEN这样的反机器人电话协议是朝着正确方向迈出的一步。博伊斯告诉CyberNews：“然而，大量的自动电话仍然从裂缝中溜走。对用户进行持续的返机器人电话欺诈教育与STIR/SHAKEN协议相结合是最佳防御措施。”

相比之下，Jason Kent认为反机器人呼叫协议只不过是杯水车薪。“STIR/SHAKEN验证检查预计在今年6月30日之前实施。你会注意到，robocalls仍然是个问题。”

“就在昨天，有人打电话给我，问我是否知道为什么我的号码给他们打电话，并告诉他们他们的社会安全号码被取消了。我告诉他们这是一个骗局，骗子伪造了我的电话号码。”——杰森肯特

肯特告诉CyberNews：“6月30日过去了，似乎什么都没有发生。这些服务背后的人多年来一直在逃避法律，并且以后一定也会继续这么做。”

不要上当：如何发现社会工程攻击

考虑到所有这些，知道如何识别社会工程企图对于确保您的资金和个人信息安全仍然至关重要：

• 不要接听未知号码的电话。如果您这样接听了，而您并不认识电话里询问您个人信息的那个人，请立即挂断。
• 永远不要泄露个人数据。这包括姓名、用户名、电子邮件地址、密码、PIN等数据或可用于识别您身份的任何信息。
• 慢慢来。诈骗者经常试图制造一种虚假的紧迫感，以迫使您透露您的信息。如果有人试图强迫您做出决定，请挂断电话或告诉他们您稍后再回电。然后拨打他们声称代表的公司的官方电话号码。
• 不要相信来电显示。诈骗者可以通过伪造姓名和电话号码以公司或联系人列表中某人的身份出现。事实上，金融服务提供商从不打电话给他们的客户确认他们的个人信息。如果发生可疑活动，他们只会封锁您的帐户，并希望您通过官方渠道与公司联系以解决问题。因此，即使电话屏幕上的来电显示看起来是真实的，也要始终保持警惕。

本文翻译自：https://cybernews.com/security/new-robocall-bot-on-telegram-can-trick-you-into-giving-up-your-password/如若转载，请注明原文地址。