TELEGRAM BOT ĐANG ĐƯỢC SỬ DỤNG ĐỂ ĐÁNH CẮP MẬT KHẨU OTP.
Các Telegram bot đang được sử dụng để lấy cắp mã OTP trong xác thực hai bước (2FA).
Xác thực hai yếu tố (2FA) có thể ở dạng mã thông báo OTP, mã, liên kết, sinh trắc học hoặc bằng cách nhấn vào một khóa vật lý để xác nhận danh tính chủ sở hữu tài khoản. Thông thường, mã thông báo 2FA được gửi qua tin nhắn văn bản tới điện thoại hoặc địa chỉ email.
2FA có thể an toàn hơn việc chỉ sử dụng mật khẩu để bảo vệ tài khoản, nhưng kẻ xấu cũng nhanh chóng phát triển phương pháp để chặn OTP, chẳng hạn như thông qua phần mềm độc hại hoặc các phương thức tấn công phi kỹ thuật (social engineering).
Theo Intel 471, kể từ tháng 6 một số dịch vụ tấn công 2FA đang lạm dụng ứng dụng nhắn tin Telegram. Telegram bị lợi dụng để tạo và quản lý các bot hoặc đóng vai trò máy chủ ‘hỗ trợ khách hàng’ để hacker thực hiện các hành vi độc hại.
Các Telegram bot đang được dùng để tự động xác định mục tiêu nhằm thực hiện lừa đảo, bằng cách gửi tin nhắn được cho là từ ngân hàng và cố gắng dụ nạn nhân chuyển giao mã OTP. Các bot khác đang nhắm mục tiêu người dùng mạng xã hội trong các nỗ lực tấn công lừa đảo và hoán đổi SIM.
Để tạo một bot, kẻ xấu cần có một trình độ lập trình cơ bản. Điều tệ hơn là tương tự các botnet truyền thống, Telegram bot có thể được cho thuê và một khi số điện thoại của nạn nhân được gửi đến, kẻ xấu có thể bắt đầu tấn công với chỉ một vài cú click chuột.
CÁC NHÀ NGHIÊN CỨU ĐÃ TRÍCH DẪN HAI BOT ĐƯỢC QUAN TÂM: SMSRANGER VÀ BLOODOTPBOT
Giao diện và thiết lập lệnh của SMSRanger tương tự như nền tảng Slack và nó có thể được sử dụng để nhắm mục tiêu các dịch vụ cụ thể bao gồm PayPal, Apple Pay và Google Play. BloodOTPbot là một bot dựa trên SMS cũng có thể được sử dụng để tạo các cuộc gọi tự động mạo danh nhân viên ngân hàng.
Intel 471 cho hay: “Các bot này cho thấy một số hình thức xác thực hai yếu tố có thể có những rủi ro an ninh mạng. Mặc dù dịch vụ OTP dựa trên SMS và cuộc gọi điện thoại vẫn an toàn hơn việc chỉ dựa vào password, tuy nhiên tội phạm cũng đã tìm ra những cách tấn công xoay quanh những biện phương pháp bảo vệ đó”.
Vào tháng 4, Check Point Research đã tiết lộ sự tồn tại của một Trojan Truy cập Từ xa (RAT) có tên là ToxicEye lợi dụng nền tảng Telegram, tận dụng dịch vụ truyền thông trong cơ sở hạ tầng C2.
Theo nguồn sưu tầm.