新的研究發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪分子正在使用Telegram機(jī)器人竊取一次性密碼token（OTP）并通過銀行和在線支付系統(tǒng)（包括PayPal、Apple Pay和Google Pay）欺詐群眾。

　　英特爾471的研究人員在周三發(fā)布的一份報告中表示他們發(fā)現(xiàn)了該活動，該活動自6月以來一直在運作。

　　研究人員在帖子中指出：“雙因素身份驗證是人們保護(hù)任何在線帳戶的最簡單方法之一。”“所以，犯罪分子正試圖繞過這種保護(hù)。”

　　研究人員表示，威脅行為者正在使用Telegram機(jī)器人和頻道以及一系列策略來獲取帳戶信息，包括致電受害者、冒充銀行和合法服務(wù)等。

　　他們說，通過社會工程，威脅行為者還欺騙人們通過移動設(shè)備向他們提供OTP或其他驗證碼，然后騙子用這些代碼來騙取用戶賬戶中的資金。

　　他們在報告中寫道：“攻擊者可以輕易使用這些機(jī)器人。”“雖然創(chuàng)建機(jī)器人需要一些編程能力，但用戶只需要花錢訪問機(jī)器人程序，獲取目標(biāo)的電話號碼，然后點擊幾個按鈕。”

　　事實上，Telegram bot已成為網(wǎng)絡(luò)犯罪分子的流行工具，他們以各種方式利用它作為用戶欺詐的一部分。今年1月份發(fā)現(xiàn)了一個類似的活動，名為Classiscam，在該活動中，講俄語的網(wǎng)絡(luò)犯罪分子將機(jī)器人作為服務(wù)出售，目的是從歐洲受害者那里竊取金錢和支付數(shù)據(jù)。已經(jīng)發(fā)現(xiàn)其他威脅行為者以一種相當(dāng)獨特的方式使用Telegram機(jī)器人作為間諜軟件的命令和控制。

　　在本例中，英特爾471研究人員觀察并分析了三個機(jī)器人的活動，它們分別是SMSRanger、BloodOTPbot和SMS Buster。

　　易于使用的機(jī)器人即服務(wù)

　　據(jù)該帖子稱，研究人員將SMSRanger描述為“易于使用”。他們解釋說，參與者付費訪問機(jī)器人，然后可以通過輸入命令來使用它，這與在廣泛使用的勞動力協(xié)作平臺Slack上使用機(jī)器人的方式類似。

　　研究人員寫道：“一個簡單的斜線命令允許用戶啟用各種‘模式’——針對各種服務(wù)的腳本——可以針對特定銀行，以及PayPal、Apple Pay、Google Pay或無線運營商。”

　　研究人員說，SMSRanger會向潛在受害者發(fā)送一條短信，詢問其電話號碼。一旦在聊天消息中輸入了目標(biāo)的電話號碼，機(jī)器人就會從那里接管，“最終允許網(wǎng)絡(luò)犯罪分子訪問任何目標(biāo)帳戶”。

　　研究人員補(bǔ)充說，大約80%的SMSRanger目標(biāo)用戶最終會向威脅行為者提供他們完整和準(zhǔn)確的信息，使他們能夠成功欺騙這些受害者。

　　冒充受信任的公司

　　與此同時研究人員還指出，BloodTPbot還可以通過短信向用戶發(fā)送欺詐性O(shè)TP代碼。然而，這個機(jī)器人需要攻擊者偽造受害者的電話號碼并冒充銀行或公司代表。

　　該機(jī)器人試圖呼叫受害者并使用社會工程技術(shù)從目標(biāo)用戶那里獲取驗證碼。研究人員解釋說，攻擊者將在通話期間收到機(jī)器人的通知，指定在身份驗證過程中何時請求OTP。一旦受害者收到OTP并在手機(jī)鍵盤上輸入，機(jī)器人就會將代碼發(fā)送給操作員。

　　BloodTPbot的月費為300美元，用戶還可以多支付20到100美元來訪問針對社交媒體網(wǎng)絡(luò)帳戶的實時網(wǎng)絡(luò)釣魚面板，包括Facebook、Instagram和Snapchat；PayPal和Venmo等金融服務(wù)；投資應(yīng)用Robinhood；加密貨幣市場Coinbase。

　　偽裝成銀行

　　他們說，研究人員觀察到的第三個機(jī)器人，SMS Buster，需要付出更多的努力才能讓威脅參與者訪問某人的帳戶信息。

　　研究人員表示，該機(jī)器人提供了選項，使得攻擊者可以偽裝從任何電話號碼撥打的電話，使其看起來像是來自特定銀行的合法聯(lián)系人。在呼叫潛在受害者后，攻擊者會按照腳本試圖欺騙目標(biāo)提供諸如ATM卡PIN、信用卡驗證值（CVV）或OTP等信息。

　　他們說，研究人員觀察到威脅行為者使用SMS Buster攻擊加拿大受害者及其銀行賬戶。在撰寫這篇文章時，英特爾471研究人員目睹了攻擊者使用SMS Buster非法訪問了八家不同加拿大銀行的賬戶。

　　研究人員總結(jié)道：“總體而言，機(jī)器人程序表明某些形式的雙因素身份驗證可能有其自身的安全風(fēng)險。”“雖然基于短信和電話的OTP服務(wù)總比沒有好，但顯然犯罪分子已經(jīng)找到了繞過保障措施的社會工程方法。”