Attenti ai wallet di Criptovalute e Home Banking: Ve li possono rubare così

Hacker

Disponibili online BOT Telegram che genera One Time Password per hackerare wallet di Criptovalute e bancari facilmente

L’autenticazione a due fattori è uno dei modi più semplici per proteggere qualsiasi account online. Quindi, ovviamente, i criminali stanno cercando di aggirare tale protezione. Intel 471 ha assistito a un aumento dei servizi clandestini della criminalità informatica che consentono agli aggressori di intercettare i token OTP (One Time Password).

Negli ultimi mesi, si sono moltiplicati gli attacchi di phishing che chiamano le vittime, appaiono come una chiamata legittima da una banca specifica e inducono le vittime a digitare un OTP o un altro codice di verifica in un telefono cellulare al fine di acquisire e fornire il codici all’operatore.

Gli OTP non sono poi così sicuri

Alcuni servizi si rivolgono anche ad altre piattaforme di social media o servizi finanziari popolari, fornendo funzionalità di phishing e scambio di SIM tramite e-mail. Attualmente però ci sono alcuni BOT Telegram che forniscono veri e propri sistemi per generare OTP funzionanti.

Come ottenere OTP funzionanti con Telegram: SMSRanger

Un particolare BOT di Telegram, noto come SMSRanger, estremamente facile da usare, permette di usare diversi script impartendo comandi nella chat, per ottenere OTP funzionanti per attaccare banche specifiche, nonché PayPal, Apple Pay, Google Pay o molti altri strumenti che richiedono l’accesso al servizio tramite OTP.

Una volta inserito il numero di telefono di un target, il BOT fa il resto del lavoro, concedendo infine l’accesso a qualsiasi account sia stato preso di mira. Gli utenti affermano che SMSRanger ha un tasso di efficacia di circa l’80% se la vittima ha risposto alla chiamata e ha fornito le informazioni complete, il tutto si concluderà in pochi minuti.

Come ottenere OTP funzionanti con Telegram: BloodOTPbot

Un altro bot, BloodOTPbot, ha capacità di inviare agli utenti un codice OTP fraudolento tramite SMS. Il bot richiede a un utente malintenzionato di falsificare il numero di telefono della vittima e impersonare un rappresentante di una banca o di un’azienda.

Il bot tenterà quindi di chiamare la vittima e utilizzerà tecniche di ingegneria sociale per ottenere un codice di verifica. L’operatore riceverà una notifica dal bot durante la chiamata specificando quando richiedere l’OTP durante il processo di autenticazione.

Il bot invierà il codice all’operatore una volta che la vittima riceve l’OTP dopo averlo immesso sulla tastiera del telefono. Il bello che l’utente pagherà appena una tariffa mensile di 300 dollari per ottenere il codice di autenticazione necessario per far funzionare il bot.

Inoltre, gli utenti possono pagare da 20 a 100 dollari in più per avere funzionalità aggiuntive come phishing dal vivo che prendono di mira account su reti di social media come Facebook, Instagram e Snapchat, servizi finanziari come PayPal e Venmo, l’app di investimento Robinhood e il market di criptovalute Coinbase.

Come ottenere OTP funzionanti con Telegram: SMS Buster

Un altro bot, noto come SMS Buster, richiede un po’ più di impegno da parte di un attore per ottenere informazioni sull’account. Il bot offre opzioni per mascherare una chiamata per farla apparire come un contatto legittimo di una banca specifica, lasciando che gli aggressori scelgano di comporre da qualsiasi numero di telefono.

Da lì, un aggressore potrebbe seguire uno script per rintracciare una vittima e fornire dettagli sensibili come un numero di identificazione personale (PIN) ATM, un valore di verifica della carta (CVV) e OTP, che potrebbero quindi essere inviati all’account Telegram di un individuo.

OTP non più sicuri

I bot funzionano 24/24h e al momento gli attacchi sono fatti solo in lingua francese e inglese, e quindi non in Italiano, ma probabilmente si sono altri bot che possono farlo. La facilità di utilizzo dei BOT, ed il costo tutto sommato contenuto, meno di 300 euro.

Difenditi così

Dunque se ricevi una chiamata o un SMS non rispondere e non cliccare su alcun link. Poi nessuna banca ti chiede le credenziali via internet, con una chiamata o ti chiede di confermare qualche operazione con un click sul tuo display dello smartphone.

Via, FONTE

Sono appassionato di tecnologia sin dalla tenera età, coltivo la mia passione con aggiornamenti quotidiani e non mi lascio scappare proprio nulla. Ho creato HowTechIsMade per condividere con voi le mie passioni ed aiutarvi ad avere un approccio più semplice con la tecnologia.