電話詐騙與驗證碼安全

電話詐騙是日常生活中最常見的欺詐手段之一。據公安部官方數據顯示，2021年國家反詐中心APP攔截詐騙電話超15億次。然而在詐騙電話的另一端，與受害者對話的都是真人嗎？

在2022年RSA大會上，來自Coinbase的全球威脅情報經理 Kelsey Dean和Coinbase全球威脅情報高級研究員Kristen Spaeth，為我們分享了攻擊者如何利用機器人實現電話詐騙，并竊取受害者OTP。

什么是OTP?

OTP全稱One-Time Password，中文譯名為一次性密碼、動態密碼或單次有效密碼。該類型密碼常用于計算機系統或其它數字設備，有效期僅為一次登錄會話或交易。例如，大家最常用的手機驗證碼就屬于OTP。相較于傳統靜態密碼，OTP具有不易受到重放攻擊（replay attack）、破譯難度高等特點。

什么是OTP Bot？

OTP Bot（One-Time Password）又稱一次性密碼機器人，是詐騙者用于獲取受害者一次性密碼以繞過入侵賬戶雙重身份驗證的一款工具。詐騙者可以利用這些機器人訪問或竊取受害者賬戶。OTP機器人通過電報機器人 API（Telegram’s Bot API）搭建，該搭建結構使攻擊者極難被定為追蹤。

據Coinbase統計，該類機器人最早于2021年初開始對外提供服務，服務數量在2021年7月達到峰值。這一類機器人平均售價為500-700$，可竊取加密貨幣交易所、銀行及其他在線服務的OTP。

OTP Bot竊密流程

OTP Bot攻擊主要基于社會工程學。通過向受害者傳遞恐慌和焦慮情緒，OPT Bot可以在短時間內快速竊取受害者一次性密碼。在試圖登錄潛在受害者的賬戶時，攻擊者向OTP機器人提供消費者的電話號碼和銀行名稱等信息。OTP Bot會根據這些輸入信息向被害者致電，誘騙他們泄露一次性密碼和其它個人身份信息。

例如，OTP機器人會打電話給受害者，告知他們的銀行賬戶存在疑似未經授權的非法活動，敦促他們立即輸入一次性密碼，以確保賬戶安全。一旦受害者輸入一次性密碼，攻擊者會在機器人提供商的網站上看到這些密碼。隨后，他們便可利用這些一次性密碼完成未經授權的交易。

OTP Bot示例：SMS Ranger

在演講中，Kristen Spaeth向我們展示了一個OTP Bot實例——SMS Ranger。SMS Ranger機器人操作簡單，付費用戶可像在Slack平臺一樣通過命令控制機器人。一旦付費用戶輸入目標電話號碼，機器人會自動完成剩余的工作。據Intel 471統計，在用戶接聽機器人撥出的電話后，一次性密碼竊取成功率可達80%。

綠盟科技解讀

信息理論之父Claude Shannon曾依據數學方法論證，如果一次性密碼使用得當，是無法被破解的。然而這并不意味著基于一次性密碼的身份驗證是絕對安全的，越來越多的攻擊者開始使用OTP Bot進行一次性密碼盜取。

當賬戶、電話號碼等客戶個人信息被泄露后，攻擊者會嘗試利用OTP Bot竊取受害者的一次性密碼。在成功通過驗證并登錄受害者賬戶后，攻擊者會進行資產轉移、手機錢包換綁、更換驗證手機/郵箱、實施身份仿冒類詐騙等惡意行為。

針對上述場景，綠盟電信網絡反欺詐解決方案通過詐騙受害人情報、流量監測、機器學習等技術手段，事前通過異常通話、異常賬號登錄等行為分析，有效發現涉詐OTP Bot提前處置；事中針對詐騙受害人及時預警提醒與攔截（電話機器人）；事后關聯溯源詐騙事件，挖掘網絡詐騙黑灰產，提供精準、實時、全面的電信網絡新型違法犯罪的防范治理能力。

防范治理電信網絡詐騙需多方協同，對于賬戶提供方來說，加強賬戶安全防護刻不容緩。相關實體可通過威脅情報與反欺詐解決方案賦能，提高電信網絡新型違法犯罪防治能力。此外，對于用戶來說，提高安全意識、學習反詐技能也能有效保護自身財產安全。