“明白了!”:网络犯罪分子如何窃取一次性密码以进行 SIM 交换攻击和突袭银行账户
受害者的手机上会闪烁来电信息。 它可能只持续几秒钟,但最终可能会导致受害者交出代码,使网络犯罪分子能够劫持他们的在线帐户或耗尽他们的加密货币和数字钱包。 “这是 PayPal 安全团队。 我们检测到您的帐户存在一些异常活动,并给您打电话作为预防措施,”呼叫者的机器人声音说道。 “请输入我们发送到您的移动设备的六位数安全代码。” 受害者不知道呼叫者的恶意意图,将他们刚刚通过短信收到的六位数代码敲入手机键盘。 “找到那个婴儿潮一代了!” 攻击者的控制台上会读取一条消息。 在某些情况下,攻击者还可能发送网络钓鱼电子邮件,目的是捕获受害者的密码。 但通常情况下,攻击者只需使用手机中的代码即可闯入受害者的在线帐户。 当受害者结束通话时,攻击者已经使用该代码登录受害者的帐户,就好像他们是合法所有者一样。 据 > 获悉,自 2023 年中期以来,一项名为 Estate 的拦截行动已使数百名成员能够拨打数千次自动电话,诱骗受害者输入一次性密码。 Estate 可帮助攻击者攻克多因素身份验证等安全功能,这些功能依赖于发送到用户手机或电子邮件或使用身份验证器应用程序从其设备生成的一次性密码。 被盗的一次性密码可以让攻击者访问受害者的银行账户、信用卡、加密货币和数字钱包以及在线服务。 大多数受害者都在美国。 但 Estate 代码中的一个错误暴露了该网站的后端数据库,该数据库未加密。 Estate 的数据库包含该网站创始人及其成员的详细信息,以及自该网站启动以来每次攻击的逐行日志,包括成为目标的受害者的电话号码、时间和成员。 Vangelis Stykas,Atropos.ai 的安全研究员兼首席技术官, 向 > 提供 Estate 数据库进行分析。 后端数据库提供了一种罕见的方式来了解一次性密码拦截操作的工作原理。 像 Estate 这样的服务以提供表面上合法的服务为幌子来宣传其产品,以允许安全从业者对社会工程攻击的弹性进行压力测试,但由于它们允许其成员使用这些服务进行恶意网络攻击,因此陷入了合法的灰色空间。 过去,当局 已起诉经营者 致力于自动化网络攻击以向犯罪分子提供服务的类似网站。 该数据库包含自去年 Estate 推出以来超过 93,000 起攻击的日志,目标受害者是在 Amazon、Bank of America、CapitalOne、Chase、Coinbase、Instagram、Mastercard、PayPal、Venmo、Yahoo(> 旗下)等拥有账户的受害者。其他的。 一些攻击还显示,通过实施 SIM […]