Cyberkriminelle omgår 2FA og OTP med robocalling og telegram bots
De automatiserede bots er meget succesfulde, fordi de effektivt efterligner legitime tjenesteudbydere.
Tofaktorautentisering (2FA) er blevet udbredt ved brug af onlinetjenester i løbet af de sidste mange år og er sandsynligvis det bedste, brugerne kan gøre for deres online kontosikkerhed. Stillet over for denne ekstra forhindring, der forhindrer dem i at udnytte stjålne adgangskoder, har cyberkriminelle også været nødt til at tilpasse sig og komme med innovative måder at udtrække engangsbrugsgodkendelseskoder fra brugere.
Ifølge en ny rapport fra cyberkriminalitet intelligens firma Intel 471, som omhandler den seneste udvikling i 2FA omgåelse, indebærer brug af robocalls med interaktive meddelelser, der er beregnet til at narre brugerne til at udlevere deres engangs-adgangskoder (OTPs) i realtid, som hackere forsøger at få adgang til deres konti. Alt dette automatiseres og styres ved hjælp af Telegram-baserede bots, ligesom teams i organisationer bruger Slack-bots til at automatisere arbejdsgange.
Alle de tjenester Intel 471 har observeret, som kun har været i drift siden juni, enten operere via en Telegram bot eller yde støtte til kunder via en Telegram kanal. I supportkanaler deler brugerne ofte deres succes, mens de bruger botten, ofte med tusinder af dollars fra offerkonti.
Social engineering automatiseret af bots
Kernen i disse er social engineering angreb med et højt niveau af automatisering. Tidligere ville en hacker manuelt ringe til et offer for at få deres oplysninger eller kundesupportlinjen i en bank eller tjenesteudbyder for at få uautoriseret adgang til en konto. Dette er nu skiftet til scriptede opkald udført af bots baseret på kommandoer, der er givet i en Telegram-chat.
De tjenester, der ses af Intel 471, har foruddefineret “tilstande” eller scripts til at udgive sig for forskellige kendte banker samt online betalingstjenester som Google Pay, Apple Pay, PayPal og mobiludbydere. Siden de begyndte at undersøge dette, har forskerne set en tjeneste kaldet SMS Buster, der kan foretage opkald på både engelsk og fransk, der bruges til ulovligt at få adgang til konti i otte forskellige Canada-baserede banker.
En anden tjeneste kaldet SMSRanger hævder en succesrate på omkring 80%, hvis offeret besvarer opkaldet, og angriberen forsynede botten med nøjagtige og opdaterede personlige oplysninger om ofrene. Også kendt som “fullz” i cyberkriminalitet kredse, kan disse datasæt erhverves fra forskellige fora og underjordiske markeder.
Bots effektivt efterligne ofrenes tjenesteudbydere
Den høje succesrate er noget overraskende. Normalt med 2FA- eller OTP-ordninger, der bruges til kontogodkendelse eller transaktionsgodkendelse i bankområdet, kan brugeren kontaktes af en automatiseret tjeneste via et telefonopkald for at få deres unikke engangsbrugskode. Disse cyberkriminalitetstjenester gør det dog omvendt: De kontakter ofrene for at bede dem om at indtaste de OTP’er, de lige har modtaget via SMS eller på anden måde fra deres legitime tjenesteudbyder.
En usædvanlig anmodning og proces for de fleste brugere, der skal hæve røde flag. Disse bots gør dog et godt stykke arbejde med at maskere sig som ofrets tjenesteudbyder. De fleste har telefonnummer spoofing kapaciteter og angriberen kan angive det telefonnummer, han ønsker, at bot til at bruge, når du ringer til offeret. Dette vil normalt være et nummer, der er forbundet med ofrets bank eller transportør.
Hvis ofrenes telefoner viser et opkalds-id, som ofrene har tillid til og genkender, er de mere tilbøjelige til at efterkomme anmodningen. Derudover vil robotten have personlige oplysninger om dem, som angriberen indlæste, hvilket tilføjer endnu et lag af troværdighed.
Ud over robocalling kan nogle af disse tjenester også automatisere angreb via e-mail eller SMS og tilbyde phishing-paneler, der er målrettet mod konti på sociale medier som Facebook, Instagram og Snapchat; finansielle tjenesteydelser som PayPal og Venmo; eller investeringsapps som Robinhood eller Coinbase. Cyberkriminelle betaler månedlige gebyrer, der spænder fra titusinder til hundreder af dollars for at bruge bots, hvilket er en lille pris i betragtning af at ethvert vellykket angreb kan resultere i tyveri af tusinder af dollars.
Robuste 2FA-formularer giver mere beskyttelse
Samlet set bots viser, at nogle former for to-faktor-autentificering kan have deres egne sikkerhedsrisici. Mens SMS- og telefonopkaldsbaserede OTP-tjenester er bedre end ingenting, har kriminelle fundet måder at socialt konstruere sig rundt i sikkerhedsforanstaltningerne. Mere robuste former for 2FA – herunder TOTP-koder (Time-Based One Time Password) fra godkendelsesapps, push-notification-baserede koder eller en FIDO-sikkerhedsnøgle – giver en større grad af sikkerhed end SMS- eller telefonopkaldsbaserede indstillinger.
Brugere skal være på vagt over for telefonopkald, hvor den, der ringer, uanset om det er en robot eller et menneske, beder dem om personlige, økonomiske eller autentificeringsoplysninger. Da 2FA i vid udstrækning anvendes til SaaS og andre konti, der leveres af virksomheder til medarbejdere, udgør disse tjenester også en risiko for organisationer, ikke kun forbrugere.
Kilde: CSO online