Telegram bot 專呃一次性密碼 出租犯罪軟件易用親民有內涵

Telegram bot 專呃一次性密碼 出租犯罪軟件易用親民有內涵

犯罪軟件「出租」服務大受歡迎,事關犯案人毋須自己寫程式,就可以租用惡意軟件犯案,其中一個提供相關服務的 Telegram 聊天室就有超過 6,000 人加入,租用一個專門呃一次性密碼的 Telegram bot,入面仲預設多個詐騙劇本俾你揀,user-friendly 咪就係呢啲囉。

目錄

OTP機械人大行其道

Telegram bot自動化呃OTP碼

Telegram bot藏多種預設詐騙劇本

零信任可疑來電或訊息

OTP機械人大行其道

顧名思義,一次性密碼(One-Time Passwords, OTP)機械人是一種專門用於盜取受害者登入網上帳戶時所需使用的雙重因素驗證(Two-Factors Authentication)密碼的自動化服務,以 Telegram bot 為例,犯罪集團會使用自動化程式,向目標發出虛假訊息或語音通話,透過各種詐騙手法套取對方的 OTP 密碼,讓罪犯可以登入對方的帳戶進行過數或竊取私隱等行為。有調查發現, OTP 已成為其中一種熱門的犯罪軟件即服務(Crimeware-as-a-Service, CaaS),任何人只要繳交使用費,就可使用這些客製化的自動化程式,即使不懂編程也可輕易使用。類似的網絡攻擊服務還包括釣魚電郵(phishing)套件、分散阻斷式服務攻擊(DDoS)及勒索軟件(ransomware)等。

Telegram bot 自動化呃OTP碼

今次由 Cybernews 發現的 Telegram OTP 騙局便是其中一個案例,專家指出在一個提供相關服務的 Telegram 聊天室內便有超過 6,000 個用戶,反映不少罪犯也對這項服務感興趣。當用戶購入 Telegram bot後,只須輸入受害人的電話號碼,詐騙工作便會由機械人自動執行。系統選單內提供多種預設的詐騙劇本供用家選擇,而且亦可以模仿真實機構的電話號碼假扮成金融機構的服務中心,透過文字或語音系統聯絡受害人,令他們相信正在與官方機構聯絡,繼而輸入自己的帳戶登入資料作確認,而在同一時間,機械人就會以這些資料登入受害人的帳戶,讓對方經手機 SMS 或驗證 app 接收到一次性密碼並交予機械人,令罪犯成功取得帳戶登入權。

Telegram bot藏多種預設詐騙劇本

透過OTP 機械人,可以盜取的資料相當廣泛,除了帳戶登入資料,還可盜取信用卡交易編號,而其中一種罪犯最常用的手段,就是當取得受害人的信用卡資料後,即時購買各類點數卡變賣,令執法機關在事後難以追蹤到罪犯的真實身份。而從其中一個 OTP 機械人的錄音事例中,假扮為信用卡公司的客戶服務部機械人在致電受害人後,聲稱發現對方的帳戶出現可疑登錄,要核對帳戶資料以攔截非法登入。當受害人提供了相關資料後,錄音系統便告知受害人已完成確認手續,並提示對方再未來 48 小時錄得的可疑交易都會全部作廢,保證對方不會有金錢損失,而且毋須到接收到的消費 SMS 作任何查詢,完美地消除受害人的疑慮。

零信任可疑來電或訊息

要阻止這類機械人語音系統,部分大型的電訊服務供應商會提供攔截服務,阻止客戶中招,但仍未能完全防止騙案發生,而且犯罪份子仍可以利用其他途徑如即時訊息軟件等,因此最重要的防線亦是用戶本身,切勿相信任何可疑來電或訊息,如對方聲稱帳戶出現問題,應直接致電機構進行驗證。

詳情:https://bit.ly/3lnTft4