Τα AI bot κλέβουν τους κωδικούς ανυποψίαστων χρηστών εξαπατώντας τους στη συνέχεια με ψεύτικες πληροφορίες και προσποιούμενα τις τράπεζες.
Υπάρχουν όμως απλοί τρόποι να προστατευτείτε από αυτούς τους απατεώνες. Ο έλεγχος ταυτότητας δύο παραγόντων (2FA) που παρέχει κωδικούς μιας χρήσης θεωρείται συνήθως ένας ασφαλής τρόπος για την προστασία από phishing και κλοπές.
Όμως, δεν αποτελούν “μαγικό φυλαχτό”, προειδοποίησαν οι ειδικοί της αντιμετώπισης ιών Kaspersky.
«Ακόμη και με 2FA, οι προσωπικοί λογαριασμοί παραμένουν ευάλωτοι σε bot κωδικών μιας χρήσης», πρόσθεσε.
«Οι ιστότοποι συνήθως στέλνουν έναν κωδικό επαλήθευσης με τη μορφή SMS, email, push notification, μηνύματος άμεσης αποστολής ή ακόμα και φωνητικής κλήσης. Ο κωδικός μπορεί να δημιουργηθεί σε μια ειδική εφαρμογή απευθείας στη συσκευή του χρήστη, αν και δυστυχώς, λίγοι άνθρωποι μπαίνουν στον κόπο να εγκαταστήσουν και να διαμορφώσουν μια εφαρμογή ελέγχου ταυτότητας».
Οι κωδικοί μίας χρήσης
Αυτά τα AI bot προσποιούνται νόμιμες οργανώσεις, όπως τράπεζες, για να εξαπατήσουν τα θύματά τους να αποκαλύψουν κωδικό μιας χρήσης (OTP).
Πρώτα, κλέβουν τα διαπιστευτήρια σύνδεσης του θύματος – συμπεριλαμβανομένου του κωδικού πρόσβασης. Στη συνέχεια, το AI bot καλεί το ανυποψίαστο θύμα για να λάβει τον κωδικό OTP του.
Αυτή η πονηρή τακτική επιτυγχάνεται με ένα προηχογραφημένο σενάριο κοινωνικής μηχανικής.
«Το ανυποψίαστο θύμα πληκτρολογεί τον κωδικό εκείνη τη στιγμή στο τηλέφωνό του κατά τη διάρκεια της κλήσης. Ο κωδικός διαβιβάζεται στο bot Telegram του επιτιθέμενου [και] ο απατεώνας αποκτά πρόσβαση στον λογαριασμό του θύματος» δήλωσε η Kaspersky.
Πώς λειτουργούν τα AI bot
Οι απατεώνες ξεκινούν τις απάτες με AI bot αγοράζοντας αρχικά μια συνδρομή σε κρυπτονομίσματα που κοστίζει περίπου 420 δολάρια την εβδομάδα.
Στα bot παρέχονται το όνομα, ο αριθμός και τα στοιχεία τραπέζης του υποψήφιου θύματος.
Σε μια ανατριχιαστική εξέλιξη, οι απατεώνες μπορούν να ενεργοποιήσουν μια ειδική λειτουργία spoofing για να πείσουν τους ανθρώπους να αποκαλύψουν τον μυστικό τους κωδικό OTP.
«Μπορούν επίσης να προσαρμόσουν τη γλώσσα και ακόμη και τη φωνή του bot», πρόσθεσε η Kaspersky. Αυτό συμβαίνει επειδή όλες οι ψεύτικες φωνές δημιουργούνται από AI.
«Το θύμα πρέπει να πιστέψει ότι η κλήση είναι νόμιμη, επομένως, πριν καλέσουν τον αριθμό, ορισμένα bot OTP μπορούν να στείλουν ένα μήνυμα SMS που προειδοποιεί για την επερχόμενη κλήση», πρόσθεσαν οι ειδικοί.
Έτσι, το θύμα υποθέτει ότι έχει λάβει ένα γνήσιο μήνυμα από την τράπεζά του που το προειδοποιεί για μια εκκρεμή κλήση.
«Κατά τη διάρκεια μιας κλήσης, ορισμένα bot μπορεί να ζητήσουν όχι μόνο έναν κωδικό OTP, αλλά και άλλα δεδομένα, όπως αριθμό τραπεζικής κάρτας και ημερομηνία λήξης, κωδικό ασφαλείας ή PIN, ημερομηνία γέννησης, στοιχεία εγγράφων και ούτω καθεξής», δήλωσε η Kaspersky.
«Ενώ τα OTP bot αποτελούν αποτελεσματικά εργαλεία για την παράκαμψη του 2FA, είναι απολύτως άχρηστα χωρίς τα προσωπικά δεδομένα του θύματος. Για να αποκτήσουν πρόσβαση στον λογαριασμό, οι επιτιθέμενοι χρειάζονται τουλάχιστον το όνομα χρήστη, τον αριθμό τηλεφώνου και τον κωδικό πρόσβασης του θύματος. Οι απατεώνες εκμεταλλεύονται την ευκαιρία να αποσπάσουν όσο το δυνατόν περισσότερες προσωπικές πληροφορίες, πιέζοντας τον χρήστη να ‘επιβεβαιώσει τα διαπιστευτήριά του».
Πώς να προστατευτείτε από τα AI Bot
Εάν λάβετε ξαφνικά έναν κωδικό μιας χρήσης, να είστε προσεκτικοί, καθώς κάποιος μπορεί να προσπαθεί να σας χακάρει.
Εάν εμφανιστεί ένα μη ζητημένο μήνυμα που περιέχει κωδικούς σύνδεσης, «μην κάνετε κλικ στο κουμπί επιβεβαίωσης εάν το μήνυμα είναι σε μορφή ‘ναι/όχι’, μην συνδεθείτε πουθενά και μην μοιραστείτε τυχόν κωδικούς που λάβατε με κανέναν», ανέφερε η Kaspersky.
Δημιουργήστε ισχυρούς και μοναδικούς κωδικούς πρόσβασης για όλους τους λογαριασμούς σας.
«Οι απατεώνες δεν μπορούν να σας επιτεθούν με bot OTP εκτός εάν γνωρίζουν τον κωδικό πρόσβασης σας, επομένως δημιουργήστε σύνθετους κωδικούς πρόσβασης και αποθηκεύστε τους με ασφάλεια», ανέφερε.
«Εάν λάβετε ένα μήνυμα με σύνδεσμο για να εισαγάγετε προσωπικά δεδομένα ή έναν κωδικό OTP, ελέγξτε διπλά τη διεύθυνση URL. Ένα αγαπημένο τέχνασμα των απατεώνων είναι να σας κατευθύνουν σε έναν ιστότοπο phishing αντικαθιστώντας μερικούς χαρακτήρες στη γραμμή διευθύνσεων».
Εξίσου σημαντικό είναι να μην μοιραστείτε ποτέ τους κωδικούς μιας χρήσης σας με κανέναν και μην τους εισάγετε ποτέ στο πληκτρολόγιο του τηλεφώνου σας κατά τη διάρκεια μιας κλήσης.
