Coduri 2FA furate prin apeluri cu boți
Cercetătorii de la Motherboard atrag atenția referitor la o practică a atacatorilor ce implică apeluri cu boți (voci automatizate). În urma obținerii datelor personale ale unui individ, atacatorii vor identifica serviciile utilizate de acel individ (ex. Paypal, Amazon, diverse bănci) pentru a asocia numărul de telefon al potențialei victime cu un bot aparent legitim, special creat pentru acel serviciu.
Atacatorii pot iniția o tranzacție sau un anumit serviciu, ținta primind într-un mesaj codul pentru autentificarea prin doi pași (2FA) sau codul unic (OTP), urmat de un apel în care o voce automatizată solicită codul. În cazul furnizării codului, atacatorii pot fura bani sau criptomonede sau obțin acces la contul victimei.
În astfel de situații, sunt recomandate închiderea apelurilor, monitorizarea activității pe contul vizat și schimbarea adresei de email asociată cu acel cont.
Alerte despre fraude bancare prin SMS, ca pretext pentru „voice phishing”
În cadrul unei forme hibride de smishing, atacatorii trimit țintei un mesaj de informare cu privire la o tranzacție fictivă, alături de o cerere de răspuns cu „da” sau „nu” pentru primirea de alerte viitoare.
După răspuns, atacatorul apelează ținta, susținând că este un reprezentant al băncii și că are nevoie de informațiile potențialei victime pentru a determina validitatea identității acesteia.
În acest context, sunt recomandate închiderea apelului și contactarea băncii.
Sursa: https://dnsc.ro/