新加坡網上出現詐取一次性密碼網絡機器人
新加坡網上出現聲稱能「代勞」取得一次性密碼認證的服務的網絡機器人,只要購買這款服務,機器人就能通過改號欺詐等手法得到一次性密碼,盜取受害者資料或金錢。
有讀者日前反映,在Telegram應用群組看到有人發廣告稱能協助取得一次性密碼(OTP)認證,讓人「輕鬆」入侵他人帳戶。
根據讀者提供的信息,只要購買這款服務,輸入受害者名字、電話和想要入侵的服務(例如付款公司等),該服務設置在Telegram內的網絡機器人(bot)就能通過改號欺詐(spoofing)等手法從受害者那裡得到一次性密碼。
Check Point Software Technologies科技安全專家李耀揚受詢時指出,任何形式的OTP都可以被盜取。「一般上,類似服務是通過手機或其他已被入侵的器材,取得OTP的。」
新思科技亞太地區客戶服務主管何文敏說,一個配置良好和完全補丁(patched)系統,照理說不可能被「繞過」,但從網絡罪犯的角度來說,通過用戶取得OTP,突破這層驗證的可能性還是存在的。
專家建議,用戶應該採取不同措施保護自己,例如設置較強的密碼並定期更換、定期檢查帳戶權限和提防不尋常的信息或電話。
