新加坡网上出现诈取一次性密码网络机器人
新加坡网上出现声称能“代劳”取得一次性密码认证的服务的网络机器人,只要购买这款服务,机器人就能通过改号欺诈等手法得到一次性密码,盗取受害者资料或金钱。
有读者日前反映,在Telegram应用群组看到有人发广告称能协助取得一次性密码(OTP)认证,让人“轻松”入侵他人账户。
根据读者提供的信息,只要购买这款服务,输入受害者名字、电话和想要入侵的服务(例如付款公司等),该服务设置在Telegram内的网络机器人(bot)就能通过改号欺诈(spoofing)等手法从受害者那里得到一次性密码。
Check Point Software Technologies科技安全专家李耀扬受询时指出,任何形式的OTP都可以被盗取。“一般上,类似服务是通过手机或其他已被入侵的器材,取得OTP的。”
新思科技亚太地区客户服务主管何文敏说,一个配置良好和完全补丁(patched)系统,照理说不可能被“绕过”,但从网络罪犯的角度来说,通过用户取得OTP,突破这层验证的可能性还是存在的。
专家建议,用户应该采取不同措施保护自己,例如设置较强的密码并定期更换、定期检查账户权限和提防不寻常的信息或电话。
