שימו לב: בוטים בטלגרם גונבים סיסמאות חד פעמיות
-
שימו לב: בוטים בטלגרם גונבים סיסמאות חד פעמיות
עד כה נמצאו שני בוטים בטלגרם בשםSMSRanger
ו-BloodOTPbot
שמשתתפים בקמפיין הזדוני הזה שמטרתו לגנוב מכם סיסמאות.
חוקרי אינטל מדווחים כי בוטים המופעלים בטלגרם הם המועדפים החמים של האקרים, שכן הדבר עוזר להם לגנוב את הסיסמאות החד-פעמיות של טלגרם (OTP) הנדרשות בתהליך האבטחה 2FA (אימות דו-שלבי).
חוקרים ציינו כי חלה 'עלייה' פתאומית במספר הבוטים הללו במהלך החודשים האחרונים, מכיוון שמגוון פתרונות העקיפת 2FA הולך וגדל.
למרות שאבטחת 2FA התגלתה כפתרון רב עוצמה להגנה על החשבונות שלנו, גורמי איומים להוטים לפתח שיטות לניצול ה-OTP ולקבל גישה לחשבונות משתמש, בין אם באמצעות הנדסה חברתית או תוכנה זדונית.
איך ה-2FA עובד?
מטרת אבטחת 2FA היא לאמת את זהות המשתמש לפני שתאפשר לו גישה לשירות כלשהו. אימות זה יכול להתבצע בצורה של סיסמה חד פעמית או אסימוני OTP, קישורים, קודים, סמנים ביומטריים, או פשוט לדרוש הקשה על דונגל פיזי.
בדרך כלל, אסימוני 2FA נשלחים לכתובת דואר אלקטרוני או למכשיר נייד כהודעת טקסט.
איך טלגרם מנוצלת על ידי בוטים?
אינטל חשפו כי מאז יוני, הם ראו עלייה פתאומית בניצול שירות ההודעות של טלגרם על ידי פתרונות עקיפת 2FA. פלטפורמת הטלגרם משמשת ליצירת/ניהול בוטים או משמשת כערוץ תמיכת לקוחות עבור פושעי סייבר.לפי החוקרים, בוטים של טלגרם מתקשרים אוטומטית לקורבנות פוטנציאליים של ניסיונות דיוג ושולחים להם הודעות שנראות כאילו נשלחו על ידי הבנק. הרובוטים האלה מנסים להערים על הקורבנות למסור קודי OTP. חלק מהבוטים מכוונים למשתמשי מדיה חברתית באמצעות התקפות דיוג ו-SIM-Swap.
החוקרים זיהו שני בוטים שמשתתפים בקמפיין הזדוני הזה. האחד נקרא
SMSRanger
ואילו השני הואBloodOTPbot
. הגדרת הפקודות והממשק שלSMSRanger
די דומים לפלטפורמת שיתוף הפעולה של Slack ויכולים לכוון לשירותים כמו Apple Pay, PayPal ו- Google Play.
לעומת זאת,BloodOTPbot
הוא בוט מבוסס SMS שיכול ליצור שיחות אוטומטיות המתחזות לתמיכת הלקוחות של הבנק.
בריאן קרבס מ- KrebsOnSecurity כבר הזהיר בבלוג מפני שירות חדש של פשעי סייבר המאפשר לתוקפים ליירט סיסמאות חד-פעמיות, שרוב האתרים דורשים כאמצעי אבטחה נוסף לאימות משתמשים.
"השירותים האלה צצים כי הם עובדים והם רווחיים. והם רווחיים מכיוון שיותר מדי אתרים ושירותים מפנים את המשתמשים לעבר שיטות אימות רב-גורמי שניתן ליירט, לזייף או להפנות לא נכון - כמו קודים חד-פעמיים מבוססי SMS, או אפילו אסימוני OTP שנוצרו על ידי אפליקציה", עד כאן דבריו.מקור: hackread