‘Got that boomer!’:黑客如何窃取一次性验证码用于SIM交换攻击和掠夺银行账户

受害者手机上突然响起一个电话。也许只持续几秒钟,但可能导致受害者交出能让黑客劫持其在线账户或清空加密和数字钱包的代码。

“这里是PayPal安全团队。我们在您的账户上检测到一些异常活动,出于预防措施而给您打电话,”来电者的机械化声音说:“请您输入我们发送到您手机的六位安全代码。”

受害者不知道来电者的恶意意图,然后在他们的手机键盘上输入他们刚刚通过短信收到的六位代码。

黑客控制台上显示“Got that boomer!”的消息。

在某些情况下,攻击者还可能发送钓鱼邮件,旨在获取受害者的密码。但通常情况下,他们手机上的代码就足以让攻击者成功登录受害者的在线账户。受害者结束通话时,攻击者已经使用该代码登录该账户,就像他们是合法所有者一样。

据了解,从2023年中期开始,一项名为Estate的拦截操作使数百名成员得以进行数千次自动电话呼叫,诱骗受害者输入一次性验证码。Estate帮助攻击者突破依赖通过手机发送给个人或邮件或使用认证器应用程序从设备生成的一次性验证码等多因素认证等安全功能。窃取的一次性验证码可以让攻击者访问受害者的银行账户、信用卡、加密和数字钱包以及在线服务。受害者大多位于美国。

但Estate代码中的一个漏洞暴露了该网站未加密的后端数据库。Estate的数据库包含该网站的创始人和成员的详细信息,以及该网站自推出以来每次攻击的逐行日志,包括被攻击者的电话号码、时间和攻击者。

Atropos.ai的安全研究员和首席技术官Vangelis Stykas向TechCrunch提供了Estate数据库以供分析。

后端数据库提供了对一次性验证码拦截操作运作方式的难得洞察。像Estate这样的服务在宣传其产品时打着为安全从业人员提供一项看似合法的服务来测试对社会工程攻击的抵抗力的幌子,但因允许其成员以恶意网络攻击为目的使用这些服务,它们在法律上处于灰色地带。过去,当局曾起诉类似网站的运营商,因为他们为犯罪分子提供服务自动化网络攻击。

数据库包含自Estate去年推出以来的超过93,000次攻击的日志,针对的受害者在亚马逊、美国银行、美国信用卡、摩根大通、Coinbase、Instagram、万事达卡、PayPal、Venmo、雅虎(TechCrunch的母公司)等企业拥有账户的用户。

一些攻击还表明了努力劫持电话号码通过实施SIM交换攻击,一项战役简单地称为“ur getting sim swapped buddy”,并威胁对受害者进行勒索。

一位20多岁的丹麦程序员,Estate的创始人,在上周的一封电子邮件中告诉TechCrunch:“我不再经营该网站。”尽管努力隐藏Estate的在线运营情况,但因为错误配置了Estate的服务器,暴露了服务器位于荷兰数据中心的真实位置。

Estate自称能够“创建与您的需求完全匹配的定制OTP解决方案”,并解释道“我们的自定义脚本选项让您掌控。” Estate成员通过冒充合法用户的方式进入全球电话网络,以获得对上游通信提供商的访问。其中一家提供商是Telnyx,其首席执行官David Casem告诉TechCrunch,公司封锁了Estate的账户,并正在进行调查。

尽管Estate小心翼翼地不明确使用可能煽动或鼓励恶意网络攻击的明确语言,但数据库显示,Estate几乎完全被用于犯罪活动。

Unit 221B的首席研究官Allison Nixon表示:“这类服务构成犯罪经济的基石。它们使慢速任务变得高效。这意味着更多的人受骗和受到威胁。相比这些服务存在之前的日子,更多老年人因犯罪而丧失退休金。”

Estate的运作方式

Estate试图通过将其网站隐藏在搜索引擎之外,并通过口耳相传的方式吸引新成员来保持低调。根据其网站,新成员仅能通过现有成员提供的转介代码登录Estate,这就使得用户数量较少,以避免上游通信提供商的检测。

一旦进入,Estate为成员提供了工具,以搜索他们将要攻击的目标的以前泄露的账户密码,让一次性代码成为劫持目标账户的唯一障碍。 Estate的工具还允许成员使用包含指导目标交出他们的一次性验证码的指令的定制脚本。

有些攻击脚本设计成验证通过让受害者交出支付卡背面上的安全代码来验证窃取的信用卡号。

根据数据库显示,Estate上最大的呼叫活动之一针对年长受害者,假设“boomers”比年轻一代更可能接受未经邀请的电话。该活动约占约一千通电话,依赖一个使黑客了解每次尝试攻击的脚本。

当受害者接听电话时,黑客的控制台会闪现“The old f— answered!”的消息,而攻击成功后会显示“Life support unplugged”。

数据库显示,Estate的创始人意识到他们的客户主要是犯罪行为者,而Estate长期以来一直承诺为其成员保密。

“我们不记录任何数据,并且不需要任何个人信息来使用我们的服务,” Estate的网站上写道,对上游电信提供商和技术公司通常要求在让客户进入其网络之前进行身份验证的做法不屑一顾。

但实际情况并非如此。Estate记录了从网站的中期推出以来每次攻击的每个细节,包括成员所做的每次电话,以及每次成员在Estate网站上加载页面的时间。

数据库显示, Estate还跟踪潜在成员的电子邮件地址。 记录显示,其中一个用户表示他们之所以想加入Estate,是因为他们最近“开始购买信用卡”,相信Estate比从不知名卖家那里购买机器人更值得信赖。用户后来被批准成为一个Estate成员。

暴露的数据库显示,一些成员信任Estate的匿名承诺,通过在他们撰写的脚本和执行的攻击中留下自己可识别的信息碎片,包括电子邮件地址和在线处理。

Estate的数据库还包含其成员的攻击脚本,显示攻击者如何利用技术巨头和银行实施的安全功能的弱点,如一次性验证码,验证客户身份。 TechCrunch没有详细描述脚本,因为这样做可能帮助黑客进行攻击。

曾报道过2021年一次性验证码操作的资深安全记者Brian Krebs说,这类犯罪活动清楚地表明,您“永远不要在未经邀请的电话中提供任何信息。”

“无论谁声称在打电话:如果您没有启动联系,请挂电话,”Krebs写道。这些建议仍然适用。

但是,虽然提供使用一次性验证码的服务仍然为用户提供比不提供更好的安全性,但黑客能够绕过这些防御措施表明,技术公司、银行、加密钱包和交易所以及电信公司还有更多工作要做。

Unit 221B的Nixon表示,公司与试图滥用其网络的恶意行为者进行着“永远的战斗”,当局应加大力度打击这些服务。

Nixon说:“缺失的一块是我们需要执法部门逮捕那些让自己变得如此令人厌烦的犯罪行为者。”“年轻人正在刻意地将此视为其职业,因为他们让自己相信他们 ‘只是一个平台’,并且 ‘不对其项目促使的犯罪行为负责’。”

“他们希望在骗术经济中轻松赚钱。有些网络名人鼓励使用不道德的方式在线赚钱。执法部门需要阻止这一切。”

在TechCrunch上阅读更多:

  • 威胁行为者刮取了4900万戴尔客户地址
  • 加密服务Apple、Proton和Wire帮助西班牙警方确认了活动分子的身份
  • UHG首席执行官表示,“也许有三分之一”的美国公民受到了最近的黑客攻击
  • 我们从LockBit幕后主脑的起诉中学到了什么
如何验证数据泄露