Bot Robocall Baru di Telegram dapat Menipu Target Agar Menyerahkan Kata Sandi mereka

Bot Robocall Baru di Telegram dapat Menipu Target Agar Menyerahkan Kata Sandi mereka

 

Para peneliti di CyberNews telah mengidentifikasi bentuk baru alat rekayasa sosial otomatis yang dapat mengumpulkan kata sandi satu kali (OTP) dari pengguna di Amerika Serikat, Inggris, dan Kanada.
Tanpa koneksi langsung dengan korban, yang disebut Bot OTP dapat menyesatkan korban untuk memberikan kredensial penjahat ke rekening bank, email, dan layanan internet lainnya. Sangat melelahkan bagi calon korban untuk mendengarkan seseorang yang mencoba menipu mereka secara buta dengan memanfaatkan kemurahan hati mereka.
Sebagai jenis baru dari bot-for-hire menaklukkan bidang rekayasa sosial, OTP Bot, bentuk terbaru dari bot Telegram berbahaya yang menggunakan robocalls untuk mengelabui korban yang tidak menaruh curiga agar menyerahkan kata sandi satu kali mereka, yang kemudian digunakan penipu untuk masuk dan mengosongkan rekening bank mereka. Lebih buruk lagi, basis pengguna bot model baru telah meledak dalam beberapa minggu terakhir, dengan puluhan ribu orang mendaftar.
Bagaimana Bot OTP Bekerja?
OTP Bot adalah contoh terbaru dari model Crimeware-as-a-Service yang muncul, di mana penjahat dunia maya menyewakan alat dan layanan yang merusak kepada siapa pun yang siap membayar, menurut pakar CyberNews Martynas Vareikis. Setelah dibeli, Bot OTP memungkinkan pengguna untuk mengumpulkan kata sandi satu kali dari orang yang tidak bersalah hanya dengan mengetikkan nomor telepon target, serta informasi tambahan yang diperoleh melalui kebocoran data atau pasar gelap, ke dalam jendela obrolan Telegram bot.
“Bergantung pada layanan yang ingin dieksploitasi oleh pelaku ancaman, informasi tambahan ini dapat mencakup sedikitnya alamat email korban,” kata Vareikis. Bot dipasarkan di saluran obrolan Telegram dengan lebih dari 6.000 pengguna, memungkinkan pemiliknya menghasilkan banyak uang dengan menjual keanggotaan bulanan ke penjahat dunia maya. Sementara itu, para penggunanya membual tentang keuntungan lima digit mereka dari merampok rekening bank target mereka.
Layanan bot-for-hire, menurut Jason Kent, seorang hacker yang tinggal di Cequence Security, telah menjadi komoditas industri ancaman otomatis, sehingga sangat mudah bagi penjahat untuk masuk ke dalam rekayasa sosial.
Kent memberi tahu CyberNew, “Pada suatu waktu, aktor ancaman perlu tahu di mana menemukan sumber daya bot, bagaimana menggabungkannya dengan skrip, alamat IP, dan kredensial. Sekarang, beberapa pencarian web akan mengungkap penawaran Bot-as-a-Service lengkap di mana saya hanya perlu membayar biaya untuk menggunakan bot. Ini adalah lanskap Bot-untuk-siapa saja sekarang dan untuk tim keamanan.”
Kartu hadiah membuat penipuan berputar:
Penautan kartu adalah taktik penipuan paling umum yang digunakan oleh pelanggan Bot OTP. Ini terdiri dari menautkan kartu kredit korban ke akun aplikasi pembayaran seluler mereka dan kemudian membeli kartu hadiah di toko nyata dengannya.
“Penautan kartu kredit adalah favorit di antara scammers karena nomor telepon curian dan informasi kartu kredit relatif mudah didapat di pasar gelap,” menurut Vareikis.
“Dengan data di tangan, pelaku ancaman dapat memilih skrip rekayasa sosial yang tersedia dari menu obrolan dan hanya memberi informasi korban ke Bot OTP.”
Bot juga menghubungi nomor korban, bertindak sebagai perwakilan dukungan, dan mencoba menyesatkan mereka agar memberikan kata sandi satu kali, yang diperlukan untuk masuk ke akun Apple Pay atau Google Pay korban, menggunakan ID penelepon palsu. Pelaku ancaman kemudian dapat menautkan kartu kredit korban ke aplikasi pembayaran dan melakukan pembelian kartu hadiah di toko fisik terdekat setelah masuk dengan kata sandi satu kali yang dicuri.
Scammers menggunakan kartu kredit terkait untuk membeli hadiah prabayar untuk satu alasan sederhana karena mereka tidak meninggalkan jejak keuangan. Ini sangat berguna selama pandemi, ketika peraturan topeng berlaku di hampir semua area interior, membuatnya jauh lebih mudah bagi penjahat untuk menyembunyikan identitas mereka selama proses berlangsung.
Sejak dirilis di Telegram pada bulan April, layanan ini tampaknya mendapatkan banyak momentum, terutama dalam beberapa minggu terakhir. Saluran Telegram Bot OTP saat ini memiliki 6.098 anggota, pertumbuhan besar 20 persen hanya dalam tujuh hari.
Kesederhanaan penggunaan dan model bot-untuk-menyewa, yang memungkinkan penipu yang tidak terampil atau bahkan pertama kali merampok korbannya dengan mudah dengan masukan paling sedikit dan kontak sosial nol, tampaknya menjadi beberapa alasan kenaikan cepat. Faktanya, beberapa pengguna Bot OTP secara terang-terangan menyiarkan kisah sukses mereka dalam percakapan Telegram, memamerkan kepada anggota saluran lainnya tentang keuntungan tidak sah mereka.
Berdasarkan popularitas Bot OTP, terlihat bahwa alat rekayasa sosial otomatis jenis baru ini hanya akan mendapatkan lebih banyak popularitas. Memang, itu hanya masalah waktu sampai banyak layanan tiruan baru memasuki pasar, menarik lebih banyak penipu yang ingin menghasilkan uang dengan cepat dari korban yang tidak menaruh curiga.
Pencipta Spyic, Katherine Brown, memperingatkan bahwa semakin banyak bot memasuki pasar, peluang untuk rekayasa sosial dan penyalahgunaan akan tumbuh secara eksponensial. “Tahun ini kita telah melihat bot muncul yang mengotomatiskan serangan terhadap target politik untuk mendorong opini publik,” kata Brown.
Pertumbuhan bot-for-hire rekayasa sosial bahkan lebih mengkhawatirkan, menurut Dr. Alexios Mylonas, dosen keamanan siber senior di University of Hertfordshire, karena pandemi telah menempatkan batasan yang lebih besar pada koneksi sosial kita.
“Ini terutama berlaku bagi mereka yang tidak paham keamanan. Pelaku ancaman diketahui menggunakan otomatisasi dan serangan rekayasa sosial online, yang memungkinkan mereka untuk mengoptimalkan operasi mereka, untuk mencapai tujuan mereka dan tim CyberNews telah menemukan contoh lain dari itu, ”kata Mylonas CyberNews.
Bagaimana Mengenali Penipuan Rekayasa Sosial?
Mengingat semua ini, memahami cara mendeteksi upaya manipulasi psikologis masih penting untuk melindungi uang dan informasi pribadi. Berikut cara melakukannya:
1.Panggilan dari nomor yang tidak dikenal tidak boleh dijawab.
2.Jangan pernah memberikan informasi pribadi: Nama, nama pengguna, alamat email, kata sandi, PIN, dan informasi lainnya yang dapat digunakan untuk mengidentifikasi Anda termasuk dalam kategori ini.
3. Jangan jatuh ke dalam perangkap: Penipu sering menggunakan perasaan urgensi yang salah untuk membuat target menyerahkan informasi pribadi mereka. Jika seseorang mencoba membujuk pengguna untuk membuat keputusan, mereka harus menutup telepon atau mengatakan bahwa mereka akan menelepon kembali nanti. Kemudian tekan nomor bebas pulsa untuk perusahaan yang mereka klaim untuk diwakili.
4.Jangan percaya ID penelepon: Dengan meniru nama dan nomor telepon, scammers mungkin menyamar sebagai perusahaan atau seseorang dari daftar kontak Anda.
Perusahaan jasa keuangan, di sisi lain, tidak pernah menelepon klien mereka untuk memvalidasi informasi pribadi. Mereka hanya akan memblokir akun jika mereka mendeteksi perilaku yang mencurigakan dan mengharapkan pengguna untuk menghubungi perusahaan melalui cara resmi untuk memperbaiki masalah tersebut. Oleh karena itu, berhati-hatilah, meskipun ID penelepon di layar ponsel Anda tampaknya sah.

Pos terkait