🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
استخبارات الخصم

بشكل عام، إعداد روبوت OTP لتجاوز MFA الذي يؤثر على خدمات P2P

بشكل عام، إعداد روبوت OTP جديد قادر على التقاط OTP و CVV للبطاقة والرموز السرية وتسجيلات المكالمات المخادعة. يحتوي الروبوت على قناة Telegram مخصصة لالتقاط المعلومات وعرضها.
تم التحديث بتاريخ
April 17, 2026
تم النشر في
July 26, 2022
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
الفئة: استخبارات الخصمالصناعة: الخدمات المالية والمصرفيةالمنطقة: عالميمصدر*: C3

ملخص تنفيذي

تهديدتأثيرتخفيف
  • بشكل عام، إعداد روبوت OTP جديد قادر على التقاط OTP و CVV للبطاقة والرموز السرية وتسجيلات المكالمات المخادعة.
  • يحتوي الروبوت على قناة Telegram مخصصة لالتقاط المعلومات وعرضها.
  • يمكن استخدام OTP الملتقط لتجاوز 2FA والحصول على وصول كامل إلى الحسابات المصرفية.
  • تتأثر خدمات الدفع P2P مثل Cashapp و Paypal.
  • تنفيذ تقنيات وخوارزميات الكشف عن الروبوتات.
  • تحقق من شرعية المتصل قبل إعطاء المعلومات الحيوية.

التحليل والإسناد

  • كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي، الجيل السادس عشر، اكتشفت منشورًا كان فيه أحد ممثلي التهديد يعلن عن روبوت Telegram OTP المسمى بشكل عام.
  • يُنظر إلى OTPs (كلمات المرور لمرة واحدة) على نطاق واسع كإجراء أمني مقاوم للخداع لضمان المصادقة سواء للسماح بالتحويل المصرفي أو الوصول إلى حساباتك عبر الإنترنت.
[معرف التسمية التوضيحية = «المرفق _20059" aligncenter «العرض ="1635"]The crux of the threat actor’s services, advertised on the forum جوهر خدمات ممثل التهديد، المُعلن عنها في المنتدى [/caption]
  • ولوحظ ممثل آخر يقدم روبوتًا يمكنه تجاوز الحسابات على Paypal و Amazon وفي قطاعات المصرفية/الدفع. (لمزيد من المعلومات، يرجى الرجوع إلى الملحق)
  • تم تصميم الروبوت بشكل عام لتجاوز المصادقة على منصات بوابات الدفع مثل Venmo و Paypal و Cashapp.
  • يمكن تمديد حالة استخدامه إلى القطاع المصرفي من خلال سرقة بطاقة CVV والرموز الشخصية.

طريقة العمل

  • قبل الهجوم، يقدم الممثل معلومات تحديد الهوية الشخصية للضحية إلى الروبوت (يتم إدخال رقم الهاتف مع /pp أو /call البادئات).
  • ينتحل الروبوت شخصية كيان شرعي (بنك، متجر للتجارة الإلكترونية، إلخ) عن طريق إجراء مكالمة مزيفة من رقم خدمة العملاء المجاني إلى الهدف المقصود.
  • لا تحتاج روبوتات Telegram إلى رقم مسجل، لذلك يمكن التخلص من إمكانية تتبع المكالمات والبحث عن الأرقام.
  • يمكن أن يتراوح سبب المكالمة من أي شيء مثل النشاط غير المصرح به على حساب مصرفي أو على بوابة الحساب عبر الإنترنت.
  • ثم يقوم ممثل التهديد بإقناع الضحية بتسجيل الدخول إلى بوابة البنك، للتحقق إذا <insert reason>حدث الحادث المذكور.
  • تساعد تطبيقات المصادقة أو الآليات المماثلة المدمجة في مواقع الويب على التحقق من صحة جلسة شرعية من المستخدم المذكور.
  • يلتقط الروبوت بيانات الاعتماد التي تم إدخالها ويتم سحب OTP من الضحية.
  • بمجرد تأمين OTP، يحصل المهاجم على وصول كامل إلى الحسابات المخترقة.
  • يمكن الاستفادة من هذا الوصول بشكل أكبر لأغراض ضارة مثل عمليات السحب والوصول طويل الأجل وما إلى ذلك.
  • يتم استخدام تقنية مماثلة لسرقة أرقام CVV والرموز السرية من بطاقات الائتمان/الخصم الصادرة عن البنك.

التكتيكات والتقنيات والإجراءات

البنية التحتية للخصم

  • واحدة من عروض Telegram الجذابة هي الروبوتات التي تستخدم للتواصل مع البشر. تستفيد العديد من الشركات منها لتبسيط احتياجات العملاء.
  • في هذه الحالة، يتم استخدام الروبوتات من قبل الجهات الفاعلة في مجال التهديد كبنية تحتية لتنفيذ الجرائم الإلكترونية من خلال:
    • الاستيلاء على OTP
    • إرسال OTP إلى جانب الخادم
  • يأتي الروبوت مع عدد من قوالب الرسائل المحددة مسبقًا والتي تعرض الخطوات المتضمنة في الجريمة من وقت الاتصال بالضحية لأول مرة حتى إنهاء المكالمة.
  • يتم أيضًا تسليم نسخة صوتية من المكالمة إلى المهاجم عند الانتهاء.

التكتيكات التي تمت ملاحظتها

  • الهندسة الاجتماعية
  • سرقة OTP والمعلومات الحساسة الأخرى (رقم CVV ورقم التعريف الشخصي للبطاقة وما إلى ذلك).
  • استخدام خدمة البنية التحتية المخصصة على Telegram (علامة فرعية).
[معرف التسمية التوضيحية = «المرفق _20060" aligncenter «العرض ="798"]Screenshot of the dedicated channel of the Generaly bot, on Telegram لقطة شاشة للقناة المخصصة لبوت Generaly، على تيليجرام [/caption]

المزايا النقدية

  • تتوفر ثلاثة خيارات للتأجير، أي الخطط اليومية والأسبوعية والشهرية، للروبوت.
  • هناك خيار لشراء الروبوت مباشرة مقابل 250,000 دولار أمريكي.
  • طريقة الشراء الأساسية هي عبر العملة المشفرة باستخدام Coinbase كمنصة دفع.
  • يمكن أيضًا إجراء المدفوعات عبر العملات المشفرة الأخرى مثل Ethereum و Bitcoin و Bitcoin Cash.
  • يتم إرسال الوصول إلى الروبوت إلى عنوان البريد الإلكتروني للعميل.

نشاط وتصنيف الجهات الفاعلة في مجال التهديد

تحديد سمات الجهات الفاعلة في مجال التهديدنشط منذ أكتوبر 2020 سمعة عالية (شكاوى ومخاوف قليلة ضدهم) الحالة الحاليةالتاريخ النشط
  • بائع بطاقات الائتمان وبطاقات الهدايا غير المرغوب فيها للعلامات التجارية الشهيرة مثل Dunkin' Donuts & Amazon.
  • كما أنهم يبيعون السجلات التي يتم الحصول عليها من سارقي المعلومات.
  • يوفر أدوات وخدمات لهجمات التحريف وعمليات تجاوز OTP.
  • معروف بالدفع للجهات الفاعلة الأخرى للترويج لمنتجات وعروض مواقع الويب الخاصة بهم.
البلدان المستهدفةفرنسا والهند والولايات المتحدة الأمريكيةنقطة الاتصال قناة Snowxup Telegram (t [.] me/snowxup - 4542 مشتركًا)، متجر SNOWXUP عبر الإنترنت، Discord (1622 عضوًا)، قناة دعم SNOWXUP (t [.] أنا/datasnow)، قناة بوت تيليجرام (@GeneralyOTPbot) التصنيف C3 (C: موثوق بها إلى حد ما، 3: ربما صحيح)

متجر SNOWXUP على الإنترنت

تم تسجيل النطاق المزعوم في تركيا ويحتوي الجدول أدناه على عنوان IP الخاص به والمعلومات المتعلقة بالخادم. عنوان IPخوادم الأسماء104.21.13.49أوستين.ns.cloudflare.com (الولايات المتحدة) 172.67.154.161jean.ns.cloudflare.com (الولايات المتحدة)

التأثير والتخفيف

التأثيرالتخفيف
  • يمكن إساءة استخدام OTP الذي تم الاستيلاء عليه بواسطة الروبوت لإجراء عمليات السحب والحفاظ على الثبات وما إلى ذلك.
  • يمكن استخدام الروبوت لتجاوز آليات 2FA والحصول على وصول كامل إلى الحسابات عبر الإنترنت/المصرفية.
  • تنفيذ تقنيات وخوارزميات الكشف عن الروبوتات.
  • خلق الوعي ضد أساليب الهندسة الاجتماعية.
  • اطرح الأسئلة الصحيحة وتحقق من شرعية الشخص المتصل، قبل إعطاء معلومات حيوية أو حساسة.

المراجع

الملحق

[معرف التسمية التوضيحية = «المرفق _20061" aligncenter «العرض = «813"]An instance of the attack taking place مثال للهجوم الذي وقع [/caption] [معرف التسمية التوضيحية = «المرفق _20062" aligncenter «العرض ="543"]Core purposes of the Generaly bot الأغراض الأساسية للبوت العام [/caption] [معرف التسمية التوضيحية = «المرفق 20063" align= «aligncenter» width="1032"]Another instance of the OTP stealing attack taking place حادثة أخرى من حوادث السرقة التي نفذها مكتب المدعي العام [/caption] [معرف التسمية التوضيحية = «المرفق 20064" align= «aligncenter» العرض = «1050"]Price descriptions for the sale of the OTP bot أوصاف الأسعار لبيع بوت OTP [/caption] [معرف التسمية التوضيحية = «المرفق 20065" align= «aligncenter» width="438"]Image of options to send purchased goods صورة خيارات إرسال البضائع المشتراة [/caption] [معرف التسمية التوضيحية = «المرفق _20066" aligncenter «العرض ="1264"]Payment methods that are offered to the customer while purchasing the bot طرق الدفع التي يتم تقديمها للعميل أثناء شراء البوت [/caption] [معرف التسمية التوضيحية = «المرفق _20067" aligncenter» العرض = «390"]Profile specifics of the threat actor, SNOWXUP - on the underground forum تفاصيل الملف الشخصي لممثل التهديد، SNOWXUP - في المنتدى السري [/caption] [معرف التسمية التوضيحية = «المرفق _20068" aligncenter «العرض ="1635"]Sponsored advertisements on other threat actor’s profile إعلانات دعائية على الملف الشخصي لممثل التهديد الآخر [/caption] [معرف التسمية التوضيحية = «المرفق _20069" aligncenter «العرض ="531"]NOWXUP’s Telegram channel that advertises their services and offerings قناة SNOWXUP على Telegram التي تعلن عن خدماتها وعروضها [/caption] [معرف التسمية التوضيحية = «المرفق 20070" align= «aligncenter» العرض = «396"]Channel specifics of the threat actor’s shop on Telegram, SNOWXUP تفاصيل القناة الخاصة بمتجر ممثل التهديد على تيليجرام، SNOWXUP [/caption] [معرف التسمية التوضيحية = «المرفق _2001" aligncenter «العرض = «488"]Samples received by CloudSEK’s researchers’ source العينات التي تلقاها مصدر الباحثين في CloudSek [/caption] [معرف التسمية التوضيحية = «المرفق _20072" aligncenter «العرض ="1437"]Domain registration information of snowxup.com suggesting it to be a new website تشير معلومات تسجيل النطاق الخاصة بـ snowxup.com إلى أنه موقع ويب جديد [/caption] [معرف التسمية التوضيحية = «المرفق 20073" align= «aligncenter» العرض = «1039"]No transactions had taken place, on this BTC address, at the time of writing this report. لم تتم أي معاملات، على عنوان BTC هذا، في وقت كتابة هذا التقرير. [/التسمية التوضيحية] (المصدر - https://www.blockchain.com/btc/address/39WE5wB4WUxbQSvE9DFjmRN7GgR2kMfoKD)
CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد