洞見RSA2022 | 電話詐騙與驗證碼安全

電話詐騙是日常生活中最常見的欺詐手段之一。據公安部官方資料顯示，2021年國家反詐中心APP攔截詐騙電話超15億次。然而在詐騙電話的另一端，與受害者對話的都是真人嗎？

在2022年RSA大會上，來自Coinbase的全球威脅情報經理 Kelsey Dean和Coinbase全球威脅情報高階研究員Kristen Spaeth，為我們分享了攻擊者如何利用機器人實現電話詐騙，並竊取受害者OTP。

什麼是OTP?

OTP全稱One-Time Password，中文譯名為一次性密碼、動態密碼或單次有效密碼。該型別密碼常用於計算機系統或其它數字裝置，有效期僅為一次登入會話或交易。例如，大家最常用的手機驗證碼就屬於OTP。相較於傳統靜態密碼，OTP具有不易受到重放攻擊（replay attack）、破譯難度高等特點。

什麼是OTP Bot？

OTP Bot（One-Time Password）又稱一次性密碼機器人，是詐騙者用於獲取受害者一次性密碼以繞過入侵賬戶雙重身份驗證的一款工具。詐騙者可以利用這些機器人訪問或竊取受害者賬戶。OTP機器人透過電報機器人 API（Telegram’s Bot API）搭建，該搭建結構使攻擊者極難被定為追蹤。

據Coinbase統計，該類機器人最早於2021年初開始對外提供服務，服務數量在2021年7月達到峰值。這一類機器人平均售價為500-700$，可竊取加密貨幣交易所、銀行及其他線上服務的OTP。

OTP Bot竊密流程

OTP Bot攻擊主要基於社會工程學。透過向受害者傳遞恐慌和焦慮情緒，OPT Bot可以在短時間內快速竊取受害者一次性密碼。在試圖登入潛在受害者的賬戶時，攻擊者向OTP機器人提供消費者的電話號碼和銀行名稱等資訊。OTP Bot會根據這些輸入資訊向被害者致電，誘騙他們洩露一次性密碼和其它個人身份資訊。

例如，OTP機器人會打電話給受害者，告知他們的銀行賬戶存在疑似未經授權的非法活動，敦促他們立即輸入一次性密碼，以確保賬戶安全。一旦受害者輸入一次性密碼，攻擊者會在機器人提供商的網站上看到這些密碼。隨後，他們便可利用這些一次性密碼完成未經授權的交易。

OTP Bot示例：SMS Ranger

在演講中，Kristen Spaeth向我們展示了一個OTP Bot例項——SMS Ranger。SMS Ranger機器人操作簡單，付費使用者可像在Slack平臺一樣透過命令控制機器人。一旦付費使用者輸入目標電話號碼，機器人會自動完成剩餘的工作。據Intel 471統計，在使用者接聽機器人撥出的電話後，一次性密碼竊取成功率可達80%。

綠盟科技解讀

資訊理論之父Claude Shannon曾依據數學方法論證，如果一次性密碼使用得當，是無法被破解的。然而這並不意味著基於一次性密碼的身份驗證是絕對安全的，越來越多的攻擊者開始使用OTP Bot進行一次性密碼盜取。

當賬戶、電話號碼等客戶個人資訊被洩露後，攻擊者會嘗試利用OTP Bot竊取受害者的一次性密碼。在成功透過驗證並登入受害者賬戶後，攻擊者會進行資產轉移、手機錢包換綁、更換驗證手機/郵箱、實施身份仿冒類詐騙等惡意行為。

針對上述場景，綠盟電信網路反欺詐解決方案透過詐騙受害人情報、流量監測、機器學習等技術手段，事前透過異常通話、異常賬號登入等行為分析，有效發現涉詐OTP Bot提前處置；事中針對詐騙受害人及時預警提醒與攔截（電話機器人）；事後關聯溯源詐騙事件，挖掘網路詐騙黑灰產，提供精準、實時、全面的電信網路新型違法犯罪的防範治理能力。

防範治理電信網路詐騙需多方協同，對於賬戶提供方來說，加強賬戶安全防護刻不容緩。相關實體可透過威脅情報與反欺詐解決方案賦能，提高電信網路新型違法犯罪防治能力。此外，對於使用者來說，提高安全意識、學習反詐技能也能有效保護自身財產安全。

參考文獻

[1]https://www.rsaconference.com/usa/agenda/session/OTP%20Bot%20Attack

更多精彩內容請訪問：
https://rsac2022.nsfocus.com.cn/html/548/