Stemmebots kommer til dine adgangskoder

December 02, 2021
INyheder Internetsikkerhed

Nøgle takeaways

Godkendelseskoder bliver hacket af stemmebots, der ringer og beder om dine oplysninger.
Hackerne kan bruge koderne til at bryde ind på konti lige fra Apple til Amazon.
Send ikke personlige oplysninger via sms, og læg på på alle opkald, der insisterer på, at du afleverer dem, siger eksperter.

En tofaktorgodkendelseskode til et bankwebsted vist på en smartphone med et bærbart tastatur i baggrunden. — Dcdp / Getty Images

Du vil måske være mere forsigtig med, hvem du taler med i telefonen.

Hackere bruger sofistikerede stemmerobotter til at stjæle adgangskoder. Angriberne er i stigende grad rettet mod to-faktor-godkendelseskoder (også kendt som 2FA), der bruges til at sikre alt fra Apple til Amazon-konti.

"Stemmebots er så gode, at brugere nemt kan tro, at de er autentiske, især når det ser ud til at hjælpe ved at stoppe ondsindet aktivitet, såsom et mistænkeligt køb." Joseph Carson af cybersikkerhedsfirmaet ThycoticCentrify, fortalte Lifewire i et e-mailinterview. "Desværre stjæler hackere i virkeligheden dine penge."

Chatty Bots

Hackere bruger tilpassede bots til at foretage automatiske opkald og bede om din midlertidige adgangskode,

Jonathan Tian, medstifter af Mobitrix Perfix, en iPhone-løsning, fortalte Lifewire. Nogle bots får dig til at tro, at du taler med en faktisk kundeservicerepræsentant, før du beder om din kode. Spørgsmålet var for nylig fremhævet i Bundkort.

"Hackeren kan nemt oprette forbindelse til din konto og udføre transaktioner eller hvad de vil, når du har indsendt bekræftelseskoden," tilføjede Tian.

En hacker, der bruger en bot, kan få fingrene i en kompromitteret kontoliste, der indeholder e-mails, navne og telefonnumre, siger cybersikkerhedsekspert Steve Tcherchian fortalte Lifewire. Hackeren kan derefter prøve at logge ind på tjenester som Amazon eller Google. Hvis du klikker på linket 'nulstil adgangskode', udløses en tekstbesked sendt til den intetanende ejer.

"Angriberen ringer derefter til ejeren ved hjælp af en bot og siger, at deres konto er blevet kompromitteret, og for at indtaste koden sendt til deres telefon for at validere deres kontoejerskab," tilføjede han. "Når ejeren indtaster koden, har tyven nu den manglende anden faktor til at kompromittere brugerens konto."

Eksperter siger, at hacker-stemmebots er et voksende problem.

"Der er langt flere stemme-bots på markedet nu, end der var for ti måneder siden - selvom de fortsat er en dyr investering," privatlivsekspert Hannah Hart fortalte Lifewire.

Bots kan efterligne alle slags tjenester for de hackere, der betaler prisen, hvilket betyder, at der er potentiale for en en bred vifte af kunder, der skal kontaktes og duperes til at aflevere en 2FA-kode eller OTP (engangskodeord), Hart sagde.

"Der er langt flere stemmerobotter på markedet nu, end der var for ti måneder siden."

Fordi stemmerobotterne ikke kræver, at hackere er usædvanligt dygtige til at bruge social engineering-teknikker, enhver kunne nemt bruge en, "så det er sandsynligt, at vi vil se copycat-hackere, der vil prøve lykken," Hart tilføjet.

Svindel og cyberangreb af enhver art er steget hurtigt i de senere år, Bob Lyle, en senior VP hos cybersikkerhedsfirmaet SpyCloud, fortalte Lifewire. Og kriminelles brug af stjålne legitimationsoplysninger er blevet mere og mere sofistikeret.

"En stor udfordring er mangel på forståelse af truslen," sagde han. "På grund af udbredelsen af telemarketing-svindel og automatiserede opkald antager mange forbrugere, at deres telefonnummer er allerede blevet kompromitteret uden at vide, hvordan det kunne bruges til at få adgang til deres regnskaber."

Beskytter dig selv

Der er måder at forhindre stemmebots i at stjæle dine dyrebare sikkerhedskoder.

Indtast aldrig din 2FA-kode, medmindre du påbegyndte anmodningen, sagde Carson. Han foreslår også, at du altid er mistænksom over for enhver anmodning, der beder om din 2FA-kode, som du ikke havde forventet.

"Sørg for, at du med jævne mellemrum ændrer dine adgangskoder, og brug en adgangskodeadministrator til at hjælpe dig med at skabe unikke lange, stærke adgangskoder til hver konto," tilføjede han.

En robothånd, der holder en smartphone med en bærbar computer vist i baggrunden. — Baona / Getty Images

Send ikke personlige oplysninger via sms, og læg på på alle opkald, der insisterer på, at du afleverer dem, sagde Hart. Tjek i stedet tjenesten direkte for at holde styr på din kontoaktivitet og rapportere enhver mistanke eller bekymring til kundeserviceteamet.

"Det er også værd at sprede ordet til venner og familie om disse grimme hackingforsøg," tilføjede Hart. "Vi kunne trods alt alle finde os i at blive målrettet af en mulig svindler, og det er ikke altid let at afgøre, om et automatiseret system er legitimt eller ej."