“明白了！”：网络犯罪分子如何窃取一次性密码以进行 SIM 交换攻击和突袭银行账户

受害者的手机上会闪烁来电信息。 它可能只持续几秒钟，但最终可能会导致受害者交出代码，使网络犯罪分子能够劫持他们的在线帐户或耗尽他们的加密货币和数字钱包。

“这是 PayPal 安全团队。 我们检测到您的帐户存在一些异常活动，并给您打电话作为预防措施，”呼叫者的机器人声音说道。 “请输入我们发送到您的移动设备的六位数安全代码。”

受害者不知道呼叫者的恶意意图，将他们刚刚通过短信收到的六位数代码敲入手机键盘。

“找到那个婴儿潮一代了！” 攻击者的控制台上会读取一条消息。

在某些情况下，攻击者还可能发送网络钓鱼电子邮件，目的是捕获受害者的密码。 但通常情况下，攻击者只需使用手机中的代码即可闯入受害者的在线帐户。 当受害者结束通话时，攻击者已经使用该代码登录受害者的帐户，就好像他们是合法所有者一样。

据 > 获悉，自 2023 年中期以来，一项名为 Estate 的拦截行动已使数百名成员能够拨打数千次自动电话，诱骗受害者输入一次性密码。 Estate 可帮助攻击者攻克多因素身份验证等安全功能，这些功能依赖于发送到用户手机或电子邮件或使用身份验证器应用程序从其设备生成的一次性密码。 被盗的一次性密码可以让攻击者访问受害者的银行账户、信用卡、加密货币和数字钱包以及在线服务。 大多数受害者都在美国。

但 Estate 代码中的一个错误暴露了该网站的后端数据库，该数据库未加密。 Estate 的数据库包含该网站创始人及其成员的详细信息，以及自该网站启动以来每次攻击的逐行日志，包括成为目标的受害者的电话号码、时间和成员。

Vangelis Stykas，Atropos.ai 的安全研究员兼首席技术官， 向 > 提供 Estate 数据库进行分析。

后端数据库提供了一种罕见的方式来了解一次性密码拦截操作的工作原理。 像 Estate 这样的服务以提供表面上合法的服务为幌子来宣传其产品，以允许安全从业者对社会工程攻击的弹性进行压力测试，但由于它们允许其成员使用这些服务进行恶意网络攻击，因此陷入了合法的灰色空间。 过去，当局 已起诉经营者 致力于自动化网络攻击以向犯罪分子提供服务的类似网站。

该数据库包含自去年 Estate 推出以来超过 93,000 起攻击的日志，目标受害者是在 Amazon、Bank of America、CapitalOne、Chase、Coinbase、Instagram、Mastercard、PayPal、Venmo、Yahoo（> 旗下）等拥有账户的受害者。其他的。

一些攻击还显示，通过实施 SIM 交换攻击来劫持电话号码（其中一项活动的标题只是“你的 SIM 交换伙伴”），并威胁对受害者进行人肉搜索。

Estate 的创始人是一位 20 岁出头的丹麦程序员，他上周在一封电子邮件中告诉 >，“我不再运营该网站了。” 尽管创始人努力隐瞒 Estate 的在线运营，但还是错误配置了 Estate 的服务器，暴露了其在荷兰数据中心的真实位置。

Estate 宣传自己能够“创建完全符合您需求的定制 OTP 解决方案”，并解释说“我们的自定义脚本选项让您掌控一切。” 庄园成员通过冒充合法用户进入全球电话网络，以访问上游通信提供商。 Telnyx 就是其中之一，其首席执行官 David Casem 告诉 >，该公司封锁了 Estate 的账户，调查正在进行中。

尽管 Estate 小心翼翼地避免公开使用可能煽动或鼓励恶意网络攻击的明确语言，但数据库显示 Estate 几乎专门用于犯罪活动。

“此类服务构成了犯罪经济的支柱”，Unit 221B 的首席研究官艾莉森·尼克松 (Allison Nixon) 表示，该公司是一家以调查网络犯罪团体而闻名的网络安全公司。 “它们让缓慢的任务变得高效。 这意味着更多的人普遍受到诈骗和威胁。 与此类服务出现之前相比，更多的老年人因犯罪而失去退休生活。”

Estate 试图通过向搜索引擎隐藏其网站并通过口碑吸引新会员来保持低调。 根据其网站，新会员只能使用现有会员的推荐代码登录 Estate，这可以保持较低的用户数量，以避免被 Estate 所依赖的上游通信提供商检测到。

一旦进入大门，Estate 就会为会员提供工具，用于搜索潜在受害者之前被泄露的帐户密码，从而使一次性代码成为劫持目标帐户的唯一障碍。 Estate 的工具还允许成员使用定制脚本，其中包含诱骗目标交出一次性密码的说明。

一些攻击脚本旨在通过欺骗受害者交出支付卡背面的安全代码来验证被盗的信用卡号码。

根据该数据库，Estate 最大的电话活动之一针对的是老年受害者，其假设是“婴儿潮一代”比年轻一代更有可能接听不请自来的电话。 该活动共打了约 1000 个电话，依靠一个脚本让网络犯罪分子随时了解每次企图攻击的情况。

“老家伙回答了！” 当受害者接听电话时，控制台中会闪烁，当攻击成功时，会显示“生命支持已拔出”。

数据库显示，Estate 的创始人意识到他们的客户主要是犯罪分子，Estate 长期以来一直承诺为其成员提供隐私。

Estate 的网站上写道：“我们不记录任何数据，也不需要任何个人信息来使用我们的服务。”该网站冷落了上游电信提供商和科技公司在让客户进入其网络之前通常要求进行的身份检查。

但这并不完全正确。 Estate 详细记录了其成员自 2023 年中期网站推出以来进行的每一次攻击。 该网站的创始人保留了对服务器日志的访问权限，这些日志提供了一个实时窗口，可以了解 Estate 的服务器在任何给定时间发生的情况，包括其成员拨打的每个电话，以及成员在 Estate 网站上加载页面的任何时间。

该数据库显示，Estate 还跟踪潜在会员的电子邮件地址。 其中一位用户表示，他们想加入 Estate，因为他们最近“开始购买 ccs”（指信用卡），并相信 Estate 比从不知名卖家那里购买机器人更值得信赖。 记录显示，该用户后来被批准成为庄园成员。

暴露的数据库显示，一些成员信任 Estate 的匿名承诺，在他们编写的脚本和执行的攻击中留下了自己的可识别信息片段（包括电子邮件地址和在线句柄）。

Estate 的数据库还包含其成员的攻击脚本，这些脚本揭示了攻击者利用科技巨头和银行实施安全功能（例如一次性密码）的弱点来验证客户身份的具体方式。 > 没有详细描述这些脚本，因为这样做可能会帮助网络犯罪分子实施攻击。

资深安全记者布莱恩·克雷布斯 (Brian Krebs) 此前曾报道过 2021 年一次性密码操作说，此类犯罪活动清楚地表明了为什么你应该“永远不要在接到未经请求的电话时提供任何信息”。

“谁声称打来的电话并不重要：如果您没有主动联系，请挂断电话。 如果您没有主动联系，请挂断电话，”克雷布斯写道。 这个建议在今天仍然适用。

但是，尽管使用一次性密码的服务仍然比不使用一次性密码的服务为用户提供了更好的安全性，但网络犯罪分子规避这些防御的能力表明，科技公司、银行、加密钱包和交易所以及电信公司还有更多工作要做。做。

Unit 221B 的尼克松表示，公司正与试图滥用其网络的不良行为者进行“永远的战斗”，当局应加大力度打击这些服务。

尼克松说：“缺少的一点是，我们需要执法部门逮捕那些使自己变得如此令人讨厌的犯罪分子。” “年轻人故意以此为职业，因为他们相信自己‘只是一个平台’，‘不对犯罪负责’，而他们的项目促成了这一点。”

“他们希望在诈骗经济中轻松赚钱。 有些影响者鼓励不道德的网上赚钱方式。 执法部门需要阻止这种行为。”