पिछले कुछ वर्षों में, दो-कारक प्रमाणीकरण लोगों के लिए किसी भी ऑनलाइन खाते की सुरक्षा के सबसे आसान तरीकों में से एक बन गया है। इसने उन्हें साइबर अपराधियों का एक प्रमुख लक्ष्य बना दिया है।
सुरक्षा कंपनी इंटेल 471 के अनुसार, इसने उन सेवाओं में तेजी देखी है जो हमलावरों को वन-टाइम पासवर्ड (ओटीपी) टोकन को इंटरसेप्ट करने की अनुमति देती हैं। जून के बाद से Intel 471 द्वारा देखी गई सभी सेवाएँ या तो a . के माध्यम से संचालित होती हैं तार bot या टेलीग्राम चैनल के माध्यम से ग्राहकों को सहायता प्रदान करते हैं। इन समर्थन चैनलों में, उपयोगकर्ता अक्सर बॉट का उपयोग करते हुए अपनी सफलता को साझा करते हैं, अक्सर पीड़ित खातों से हजारों डॉलर निकाल लेते हैं। “पिछले कुछ महीनों में, हमने देखा है कि अभिनेता उन सेवाओं तक पहुंच प्रदान करते हैं जो पीड़ितों को कॉल करते हैं, एक विशिष्ट बैंक से एक वैध कॉल के रूप में दिखाई देते हैं और पीड़ितों को एक ओटीपी या अन्य सत्यापन कोड टाइप करने के लिए मोबाइल फोन पर कब्जा करने और वितरित करने के लिए धोखा देते हैं। ऑपरेटर को कोड। कुछ सेवाएं अन्य लोकप्रिय सोशल मीडिया प्लेटफॉर्म या वित्तीय सेवाओं को भी लक्षित करती हैं, ईमेल फ़िशिंग प्रदान करती हैं और सिम स्वैपिंग क्षमताएं, ” कंपनी एक ब्लॉगपोस्ट में कहती है।
कैसे साइबर क्रिमिनल्स इन बॉट्स का इस्तेमाल कर पैसे चुराते हैं
ब्लॉग पोस्ट में कहा गया है कि एक विशेष बॉट, जिसे SMSRanger के नाम से जाना जाता है, का उपयोग करना बेहद आसान है। एक साधारण स्लैश कमांड उपयोगकर्ता को विभिन्न “मोड” को सक्षम करने की अनुमति देता है – विभिन्न सेवाओं के रूप में लक्षित स्क्रिप्ट – जो विशिष्ट बैंकों, साथ ही पेपैल, ऐप्पल पे, Google पे, या वायरलेस कैरियर को लक्षित कर सकती हैं। एक बार लक्ष्य का फ़ोन नंबर दर्ज करने के बाद, बॉट बाकी काम करता है, जो भी खाते को लक्षित किया गया है, उस तक पहुंच प्रदान करता है। यदि पीड़ित ने कॉल का उत्तर दिया और प्रदान की गई जानकारी सही थी, तो SMSRanger की प्रभावकारिता दर लगभग 80% बताई जाती है।
एक अन्य बॉट, जिसे ब्लडओटीपीबॉट के नाम से जाना जाता है, ने भी काम किया है जो उपयोगकर्ताओं को एसएमएस के माध्यम से फर्जी ओटीपी कोड भेजता है। बॉट को पीड़ित के फोन नंबर को धोखा देने और बैंक या कंपनी के प्रतिनिधि का प्रतिरूपण करने के लिए एक हमलावर की आवश्यकता होती है। बॉट तब सोशल इंजीनियरिंग ट्रिक्स का उपयोग करके सत्यापन कोड प्राप्त करने का प्रयास करता है। प्रमाणीकरण प्रक्रिया के दौरान ओटीपी का अनुरोध करने के लिए निर्दिष्ट करने के लिए ऑपरेटर को कॉल के दौरान बॉट से एक अधिसूचना प्राप्त होगी। पीड़ित द्वारा ओटीपी प्राप्त करने और फोन के कीबोर्ड पर दर्ज करने के बाद बॉट ऑपरेटर को कोड लिखेगा।
एक अन्य बॉट, जिसे एसएमएस बस्टर के रूप में जाना जाता है, को खाते की जानकारी प्राप्त करने के लिए एक अभिनेता से कुछ अधिक प्रयास की आवश्यकता होती है। बॉट किसी कॉल को छिपाने के लिए विकल्प प्रदान करता है ताकि इसे किसी विशिष्ट बैंक से वैध संपर्क के रूप में प्रदर्शित किया जा सके, जबकि हमलावरों को किसी भी फोन नंबर से डायल करने का विकल्प दिया जा सके। वहां से, एक हमलावर किसी पीड़ित को एटीएम पिन, कार्ड सत्यापन मूल्य (सीवीवी) और ओटीपी जैसे संवेदनशील विवरण प्रदान करने के लिए एक स्क्रिप्ट का अनुसरण कर सकता है, जिसे बाद में किसी व्यक्ति के टेलीग्राम खाते में भेजा जा सकता है। कनाडा के पीड़ितों को निशाना बनाने वाले हमलावरों द्वारा इस्तेमाल किया गया बॉट, उपयोगकर्ताओं को फ्रेंच और अंग्रेजी में हमले शुरू करने का मौका देता है।
इस ब्लॉग पोस्ट की प्रकाशन तिथि के अनुसार, इंटेल 471 ने आठ अलग-अलग कनाडाई-आधारित बैंकों में अवैध रूप से खातों को देखा है।
.