每當大規(guī)模數(shù)據(jù)泄露登上新聞頭條時，安全專家總是不厭其煩地提醒保護線上資產(chǎn)的重要性。比如避免使用弱密碼，借助靠譜的密碼管理器，為每個不同的服務(wù) / 網(wǎng)站 / 應(yīng)用程序配備不同的唯一密碼，以及靈活應(yīng)用雙因素身份驗證（2FA）或一次性密碼（OTP）等措施。然而近日，我們又見到了一種新鮮出爐的高效定制語音機器人。它們能夠自動發(fā)出呼叫，以騙取用戶的臨時驗證碼。

視頻截圖（via Metamask Giveaways）

如此一來，在受害者沒有充分意識到的情況下，他們的線上賬戶或數(shù)字資產(chǎn)就已被攻擊者染指。

當然，即使沒有用到這種新穎的語音機器人討論，雙因素身份驗證（2FA）也不是萬無一失的，因為一些黑客可能會采取社工手段來忽悠用戶。

另一方面，語音機器人的攻擊手段要復雜許多，首先就是讓受害者相信他們正在與其想要滲透的相關(guān)服務(wù)的自動化安全系統(tǒng)交談。

為此，Motherboard 借用了一個簡單的例子來演示此類攻擊，期間收到了一通自稱來自 PayPal 防欺詐系統(tǒng)的來電。

OTP bot - cashout bank logs，apple pay（via）

自動語音告訴賬戶持有人，稱有人試圖消費特定的金額，因而系統(tǒng)需要驗證身份以阻止轉(zhuǎn)賬，從而騙取 2FA / OTP 驗證碼。

為保護您的賬戶，我們現(xiàn)正給您的移動設(shè)備發(fā)送驗證碼。在輸入一串六位數(shù)字后，語音會提示 ——‘謝謝合作，您的賬戶已被保護，此請求已被阻止’。

然后為了避免用戶立即回過神來，系統(tǒng)還會進一步忽悠用戶 ——‘若您的賬戶已被扣除任何款項，請不要擔心。我們將在 24 - 48 小時內(nèi)予以退還，本次記錄的編號為 1549926，通話到此結(jié)束’。

然而現(xiàn)實是，騙得用戶個人數(shù)據(jù)（包括真實姓名、電子郵件地址、電話號碼）的黑客，仍可利用這些數(shù)據(jù)來確定他們是否擁有對應(yīng)地址的 PayPal 賬戶（或任何類型的其它線上賬戶）。

Motherboard 解釋稱，為了定制這些針對亞馬遜、PayPal、網(wǎng)銀等特定服務(wù)的機器人，攻擊者將擔負每月數(shù)百美元的使用成本，灰產(chǎn)從業(yè)者甚至允許黑客自定義任何類型的機器人呼叫體驗。

作為預(yù)防措施，安全研究人員希望用戶充分意識到 2FA / OTP 語音機器人攻擊這件事的存在。凡是主動向你致電索取驗證碼的電話，都應(yīng)立即掛斷并聯(lián)系正版的官方客服，必要時可臨時緊急凍結(jié)賬戶資產(chǎn)。

（舉報）