新的研究发现，网络犯罪分子正在使用Telegram机器人窃取一次性密码token（OTP）并通过银行和在线支付系统（包括PayPal、Apple Pay和Google Pay）欺诈群众。

英特尔471的研究人员在周三发布的一份报告中表示他们发现了该活动，该活动自6月以来一直在运作。

研究人员在帖子中指出：“双因素身份验证是人们保护任何在线帐户的最简单方法之一。”“所以，犯罪分子正试图绕过这种保护。”
研究人员表示，威胁行为者正在使用Telegram机器人和频道以及一系列策略来获取帐户信息，包括致电受害者、冒充银行和合法服务等。

他们说，通过社会工程，威胁行为者还欺骗人们通过移动设备向他们提供OTP或其他验证码，然后骗子用这些代码来骗取用户账户中的资金。

他们在报告中写道：“攻击者可以轻易使用这些机器人。”“虽然创建机器人需要一些编程能力，但用户只需要花钱访问机器人程序，获取目标的电话号码，然后点击几个按钮。”

事实上，Telegram bot已成为网络犯罪分子的流行工具，他们以各种方式利用它作为用户欺诈的一部分。今年1月份发现了一个类似的活动，名为Classiscam，在该活动中，讲俄语的网络犯罪分子将机器人作为服务出售，目的是从欧洲受害者那里窃取金钱和支付数据。已经发现其他威胁行为者以一种相当独特的方式使用Telegram机器人作为间谍软件的命令和控制。

在本例中，英特尔471研究人员观察并分析了三个机器人的活动，它们分别是SMSRanger、BloodOTPbot和SMS Buster。

易于使用的机器人即服务

据该帖子称，研究人员将SMSRanger描述为“易于使用”。他们解释说，参与者付费访问机器人，然后可以通过输入命令来使用它，这与在广泛使用的劳动力协作平台Slack上使用机器人的方式类似。

研究人员写道：“一个简单的斜线命令允许用户启用各种‘模式’——针对各种服务的脚本——可以针对特定银行，以及PayPal、Apple Pay、Google Pay或无线运营商。”

研究人员说，SMSRanger会向潜在受害者发送一条短信，询问其电话号码。一旦在聊天消息中输入了目标的电话号码，机器人就会从那里接管，“最终允许网络犯罪分子访问任何目标帐户”。

研究人员补充说，大约80%的SMSRanger目标用户最终会向威胁行为者提供他们完整和准确的信息，使他们能够成功欺骗这些受害者。

冒充受信任的公司

与此同时研究人员还指出，BloodTPbot还可以通过短信向用户发送欺诈性OTP代码。然而，这个机器人需要攻击者伪造受害者的电话号码并冒充银行或公司代表。

该机器人试图呼叫受害者并使用社会工程技术从目标用户那里获取验证码。研究人员解释说，攻击者将在通话期间收到机器人的通知，指定在身份验证过程中何时请求OTP。一旦受害者收到OTP并在手机键盘上输入，机器人就会将代码发送给操作员。

BloodTPbot的月费为300美元，用户还可以多支付20到100美元来访问针对社交媒体网络帐户的实时网络钓鱼面板，包括Facebook、Instagram和Snapchat；PayPal和Venmo等金融服务；投资应用Robinhood；加密货币市场Coinbase。

伪装成银行

他们说，研究人员观察到的第三个机器人，SMS Buster，需要付出更多的努力才能让威胁参与者访问某人的帐户信息。

研究人员表示，该机器人提供了选项，使得攻击者可以伪装从任何电话号码拨打的电话，使其看起来像是来自特定银行的合法联系人。在呼叫潜在受害者后，攻击者会按照脚本试图欺骗目标提供诸如ATM卡PIN、信用卡验证值（CVV）或OTP等信息。

他们说，研究人员观察到威胁行为者使用SMS Buster攻击加拿大受害者及其银行账户。在撰写这篇文章时，英特尔471研究人员目睹了攻击者使用SMS Buster非法访问了八家不同加拿大银行的账户。

研究人员总结道：“总体而言，机器人程序表明某些形式的双因素身份验证可能有其自身的安全风险。”“虽然基于短信和电话的OTP服务总比没有好，但显然犯罪分子已经找到了绕过保障措施的社会工程方法。”

参考及来源：https://threatpost.com/telegram-bots-compromise-paypal/175099/