详细内容或原文请订阅后点击阅览
机器人网络钓鱼的终结:欺诈性网络帝国 Estate 的没落指日可待
如果手机中的某个机器人要求您输入一次性密码,您该怎么办?
来源:安全实验室新闻频道最近,网络犯罪分子显着改进了他们的攻击方法,使用复杂的方案拦截一次性验证码 (OTP),以访问受害者的银行账户和数字钱包。
一次性密码诈骗者的主要工具是自动电话,攻击者独立或使用预先录制的机器人线路,冒充知名品牌的安全服务,并说服用户提供一次性短信代码,据称保护他们的帐户免受欺诈活动的侵害。
该操作代号为 Estate,于 2023 年中期作为一项单独服务推出,允许数百名攻击者每天拨打数千次自动自动呼叫,并通过绕过多重身份验证 (MFA) 获得对多个帐户的未经授权的访问。
进行数千次自动自动呼叫 艺术硕士攻击的主要目标是银行账户、信用卡和在线服务,包括亚马逊、PayPal 和 Coinbase。大多数受害者都在美国。
打击此类欺诈的一个引人注目的事件是遗产管理人员最近犯下的一个错误,导致该服务的内部数据库泄露,其中包含有关欺诈操作的创建者及其同谋的信息。 “作为甜点”,研究人员获得了所有欺诈电话的数据,包括详细的攻击日志。
泄露的数据库让安全研究人员重新审视一次性代码拦截的工作原理,暴露了许多大公司系统中的漏洞。
值得注意的是,Estate 与许多其他现代欺诈工具一样,在互联网上定位为渗透测试服务,这使其能够在网络空间中相当合法地运作。