chushpan
Professional
- Messages
- 696
- Reaction score
- 463
- Points
- 63
Многие мошенники теперь могут проникнуть в учетные записи пользователей, даже если у них установлена многофакторная аутентификация (MFA).
Для этих взломов учетных записей они все чаще используют OTP-ботов
Что такое OTP-бот?
OTP — это программы для перехвата и кражи одноразовых кодов аутентификации. Различными способами такая программа может перехватывать код, отправленный по электронной почте, SMS и даже через приложения аутентификации.
Принципы работы OTP-ботов
Такие программы могут быть полностью автоматизированы, некоторые используют их совместно с социальной инженерией.
1. Получение сертификата. Мошенник получает данные для входа в профиль жертвы, например, через купленные базы данных или фишинг.
2. Попытка входа. Мошенник запускает программу OTP-бота, которая пытается войти в приложение или на сайт.
3. Отправка проверочного кода. Сайт или приложение отправляет код на электронную почту или номер мобильного телефона жертвы.
4. Подбор кода. Используя уязвимости в отправке СМС или используя зараженные программы на устройстве жертвы, OTP-бот получает сообщение раньше, чем это сделает настоящий владелец
5. Ввод кода. OTP-бот вводит эти данные и получает доступ к аккаунту жертвы
Все это происходит практически мгновенно.
Какие бывают типы OTP-ботов?
SMS-боты. Имитируют официальные сообщения, отправляют СМС. Часто это делается с подменой номера официальной организации, который выглядит так уверенно, например, как сообщение от вашего банка, биржи. Также они перехватывают OTP-коды через SMS-
боты в приложениях. Приложения имитируют использование уязвимостей в конструкции для самостоятельного ввода кода пользователя в мошенническом интерфейсе
Голосовые боты. Используя подмененные голосовые вызовы, которые будут звучать максимально реалистично, они, выдавая себя за службу поддержки банка, могут получить нужный код от человека. Жертва в этом сценарии сама предоставляет мошенникам код.
Email-боты. Отправка писем от имени определенной организации побуждает человека предоставить код ответным сообщением.
Браузерные боты на веб-сайтах. Такие боты изменяют внешний вид веб-сайтов, и в этот момент пользователь вводит код непосредственно в систему мошенника.
Как можно использовать OTP-бот в кардинге?
OTP-боты очень часто используются в этой сфере, поскольку с их помощью можно входить в учетные записи пользователей и совершать покупки в Интернете. Обычные люди могут быть доверчивыми или не знать многого о защите своих данных. Помимо покупок в Интернете, злоумышленник может хранить платежную информацию и впоследствии распоряжаться ею по своему усмотрению, например, продавать.
Почему OTP-боты эффективны?
Высокая эффективность таких ботов обусловлена тем, что многие пользователи давно привыкли вводить коды, для многих действий требуется проверочный код. Это стало слишком обыденным. Не исключена человеческая ошибка, когда жертва доверится сайту, который не отличит от настоящего или голосовому звонку, в котором он считает, что необходимо предоставить код. Еще возможен перехват СМС-сообщения, что также дает больше возможностей для получения кода.
Цена OTP-бота
Эти программы довольно распространены, но иногда требуется время, чтобы найти свежий инструмент. Чаще всего их можно купить у продавцов на специализированных форумах.
Еженедельные услуги OTP-бота могут стоить от 50$ до 100$ в неделю в зависимости от его возможностей.
Вот несколько примеров названий таких инструментов, которые есть или были на рынке: SMSRanger, BloodOTPbot.
Многие продаются в Telegram-каналах и могут быть интегрированы.
OTP-бот в кардинге
Вам понадобится OTP-бот, если вы собираетесь войти в учетную запись пользователя, например, PayPal, Amazon или банковское приложение. Он также может предоставить вам код для совершения транзакции при онлайн-покупке с подключенным 3DS 2.0.
Эти инструменты незаменимы для кардеров, если они готовы вывести свой кардинг на новый уровень.
Для этих взломов учетных записей они все чаще используют OTP-ботов
Что такое OTP-бот?
OTP — это программы для перехвата и кражи одноразовых кодов аутентификации. Различными способами такая программа может перехватывать код, отправленный по электронной почте, SMS и даже через приложения аутентификации.
Принципы работы OTP-ботов
Такие программы могут быть полностью автоматизированы, некоторые используют их совместно с социальной инженерией.
1. Получение сертификата. Мошенник получает данные для входа в профиль жертвы, например, через купленные базы данных или фишинг.
2. Попытка входа. Мошенник запускает программу OTP-бота, которая пытается войти в приложение или на сайт.
3. Отправка проверочного кода. Сайт или приложение отправляет код на электронную почту или номер мобильного телефона жертвы.
4. Подбор кода. Используя уязвимости в отправке СМС или используя зараженные программы на устройстве жертвы, OTP-бот получает сообщение раньше, чем это сделает настоящий владелец
5. Ввод кода. OTP-бот вводит эти данные и получает доступ к аккаунту жертвы
Все это происходит практически мгновенно.
Какие бывают типы OTP-ботов?
SMS-боты. Имитируют официальные сообщения, отправляют СМС. Часто это делается с подменой номера официальной организации, который выглядит так уверенно, например, как сообщение от вашего банка, биржи. Также они перехватывают OTP-коды через SMS-
боты в приложениях. Приложения имитируют использование уязвимостей в конструкции для самостоятельного ввода кода пользователя в мошенническом интерфейсе
Голосовые боты. Используя подмененные голосовые вызовы, которые будут звучать максимально реалистично, они, выдавая себя за службу поддержки банка, могут получить нужный код от человека. Жертва в этом сценарии сама предоставляет мошенникам код.
Email-боты. Отправка писем от имени определенной организации побуждает человека предоставить код ответным сообщением.
Браузерные боты на веб-сайтах. Такие боты изменяют внешний вид веб-сайтов, и в этот момент пользователь вводит код непосредственно в систему мошенника.
Как можно использовать OTP-бот в кардинге?
OTP-боты очень часто используются в этой сфере, поскольку с их помощью можно входить в учетные записи пользователей и совершать покупки в Интернете. Обычные люди могут быть доверчивыми или не знать многого о защите своих данных. Помимо покупок в Интернете, злоумышленник может хранить платежную информацию и впоследствии распоряжаться ею по своему усмотрению, например, продавать.
Почему OTP-боты эффективны?
Высокая эффективность таких ботов обусловлена тем, что многие пользователи давно привыкли вводить коды, для многих действий требуется проверочный код. Это стало слишком обыденным. Не исключена человеческая ошибка, когда жертва доверится сайту, который не отличит от настоящего или голосовому звонку, в котором он считает, что необходимо предоставить код. Еще возможен перехват СМС-сообщения, что также дает больше возможностей для получения кода.
Цена OTP-бота
Эти программы довольно распространены, но иногда требуется время, чтобы найти свежий инструмент. Чаще всего их можно купить у продавцов на специализированных форумах.
Еженедельные услуги OTP-бота могут стоить от 50$ до 100$ в неделю в зависимости от его возможностей.
Вот несколько примеров названий таких инструментов, которые есть или были на рынке: SMSRanger, BloodOTPbot.
Многие продаются в Telegram-каналах и могут быть интегрированы.
OTP-бот в кардинге
Вам понадобится OTP-бот, если вы собираетесь войти в учетную запись пользователя, например, PayPal, Amazon или банковское приложение. Он также может предоставить вам код для совершения транзакции при онлайн-покупке с подключенным 3DS 2.0.
Эти инструменты незаменимы для кардеров, если они готовы вывести свой кардинг на новый уровень.
