Bots die hackers helpen om ‘overtuigend en moeiteloos’ in te breken op Coinbase, Amazon, PayPal en bankrekeningen? Jazeker, dat kan, schrijft Vice. Auteur Joseph Cox verhaalt hoe hij door het fraudepreventiesysteem van PayPal werd gebeld. Iemand had geprobeerd zijn PayPal-rekening te gebruiken en Cox moest identiteit verifiëren om de overboeking te blokkeren. Dat het telefoontje van een hacker kon komen, wist Cox natuurlijk. Maar dat die fraudeur daarvoor een bot gebruikte met een geautomatiseerde stem, was nieuw. De bot ‘verlaagt de toegangsdrempel’ om multi-factor authenticatie te omzeilen, aldus Cox die sprak met aanbieders van zulke bots, die te koop zijn voor een paar honderd dollar. ‘Het is een geweldige bot voor mensen die geen vaardigheden hebben voor social engineering’, zei ene OTPGOD777. Bovendien handig omdat ‘niet iedereen overtuigend is aan de telefoon’. De ontdekking van de bots roepen vragen op: moeten online diensten niet nóg meer phishing-resistente vormen van authenticatie aanbieden om gebruikers te beschermen, nu ook 2FA of MFA relatief simpel omzeild kan worden? En simpel is het: een hacker voert op Telegram of Discord het telefoonnummer van zijn doelwit in plus het platform waarop de hacker wil inbreken. De bot plaatst dan op de achtergrond een geautomatiseerde oproep naar het doelwit. Als het slachtoffer vervolgens een code intikt, activeert de hacker tegelijkertijd een legitieme code die van het beoogde platform naar de telefoon van het slachtoffer wordt verzonden. De code wordt dan gebruikt om op de account zelf in te loggen. De nieuwe truc is het zoveelste voorbeeld van de creativiteit van fraudeurs die geen ervaren social engineers hoeven te zijn, bevestigt ceo Rachel Tobac van cyberbeveiligingsbedrijf SocialProof Security. Ook andere cyberbeveiligers spreken van een verontrustende trend, gewend als we zijn aan geautomatiseerde systemen die met ons communiceren. ‘Voeg daar de klassieke manipulatie door angstzaaierij en de kleine details zoals de referentiecode aan toe en de noodzaak om je geen zorgen te maken over ongeoorloofde betalingen, en dit wordt nog overtuigender’.
- Herbloggen
-
Abonneren
Geabonneerd
Heb je al een WordPress.com-account? Nu inloggen.
Cops in cyberspace 