攻擊者使用Telegram Bot竊取PayPal賬戶資金

新的研究發現，網絡犯罪分子正在使用Telegram機器人竊取一次性密碼token(OTP)并通過銀行和在線支付系統(包括PayPal、Apple Pay和Google Pay)欺詐群眾。

英特爾471的研究人員在周三發布的一份報告中表示他們發現了該活動，該活動自6月以來一直在運作。

研究人員在帖子中指出：“雙因素身份驗證是人們保護任何在線帳戶的最簡單方法之一。”“所以，犯罪分子正試圖繞過這種保護。”

研究人員表示，威脅行為者正在使用Telegram機器人和頻道以及一系列策略來獲取帳戶信息，包括致電受害者、冒充銀行和合法服務等。

他們說，通過社會工程，威脅行為者還欺騙人們通過移動設備向他們提供OTP或其他驗證碼，然后騙子用這些代碼來騙取用戶賬戶中的資金。

他們在報告中寫道：“攻擊者可以輕易使用這些機器人。”“雖然創建機器人需要一些編程能力，但用戶只需要花錢訪問機器人程序，獲取目標的電話號碼，然后點擊幾個按鈕。”

事實上，Telegram bot已成為網絡犯罪分子的流行工具，他們以各種方式利用它作為用戶欺詐的一部分。今年1月份發現了一個類似的活動，名為Classiscam，在該活動中，講俄語的網絡犯罪分子將機器人作為服務出售，目的是從歐洲受害者那里竊取金錢和支付數據。已經發現其他威脅行為者以一種相當獨特的方式使用Telegram機器人作為間諜軟件的命令和控制。

在本例中，英特爾471研究人員觀察并分析了三個機器人的活動，它們分別是SMSRanger、BloodOTPbot和SMS Buster。

 易于使用的機器人即服務

據該帖子稱，研究人員將SMSRanger描述為“易于使用”。他們解釋說，參與者付費訪問機器人，然后可以通過輸入命令來使用它，這與在廣泛使用的勞動力協作平臺Slack上使用機器人的方式類似。

研究人員寫道：“一個簡單的斜線命令允許用戶啟用各種‘模式’——針對各種服務的腳本——可以針對特定銀行，以及PayPal、Apple Pay、Google Pay或無線運營商。”

研究人員說，SMSRanger會向潛在受害者發送一條短信，詢問其電話號碼。一旦在聊天消息中輸入了目標的電話號碼，機器人就會從那里接管，“最終允許網絡犯罪分子訪問任何目標帳戶”。

研究人員補充說，大約80%的SMSRanger目標用戶最終會向威脅行為者提供他們完整和準確的信息，使他們能夠成功欺騙這些受害者。

 冒充受信任的公司

與此同時研究人員還指出，BloodTPbot還可以通過短信向用戶發送欺詐性OTP代碼。然而，這個機器人需要攻擊者偽造受害者的電話號碼并冒充銀行或公司代表。

該機器人試圖呼叫受害者并使用社會工程技術從目標用戶那里獲取驗證碼。研究人員解釋說，攻擊者將在通話期間收到機器人的通知，指定在身份驗證過程中何時請求OTP。一旦受害者收到OTP并在手機鍵盤上輸入，機器人就會將代碼發送給操作員。

BloodTPbot的月費為300美元，用戶還可以多支付20到100美元來訪問針對社交媒體網絡帳戶的實時網絡釣魚面板，包括Facebook、Instagram和Snapchat；PayPal和Venmo等金融服務；投資應用Robinhood；加密貨幣市場Coinbase。

 偽裝成銀行

他們說，研究人員觀察到的第三個機器人，SMS Buster，需要付出更多的努力才能讓威脅參與者訪問某人的帳戶信息。

研究人員表示，該機器人提供了選項，使得攻擊者可以偽裝從任何電話號碼撥打的電話，使其看起來像是來自特定銀行的合法聯系人。在呼叫潛在受害者后，攻擊者會按照腳本試圖欺騙目標提供諸如ATM卡PIN、信用卡驗證值(CVV)或OTP等信息。

他們說，研究人員觀察到威脅行為者使用SMS Buster攻擊加拿大受害者及其銀行賬戶。在撰寫這篇文章時，英特爾471研究人員目睹了攻擊者使用SMS Buster非法訪問了八家不同加拿大銀行的賬戶。

研究人員總結道：“總體而言，機器人程序表明某些形式的雙因素身份驗證可能有其自身的安全風險。”“雖然基于短信和電話的OTP服務總比沒有好，但顯然犯罪分子已經找到了繞過保障措施的社會工程方法。”

參考及來源：

https://threatpost.com/telegram-bots-compromise-paypal/175099/