نسخة مطورة من روبوت OTP بشكل عام لتجاوز MFA على منصات الدفع الشائعة

تم الإعلان عن نسخة مطورة من روبوت Generaly OTP في منتدى الجرائم الإلكترونية. يحتوي الروبوت على قناة Telegram مخصصة لالتقاط المعلومات وعرضها. يمكن استخدام OTP الملتقط لتجاوز 2FA والحصول على وصول كامل إلى الحسابات المصرفية.

تم التحديث بتاريخ

April 15, 2026

تم النشر في

September 30, 2022

اقرأ الدقائق

اشترك في أحدث أخبار الصناعة والتهديدات والموارد.

جدول المحتويات

هذا أيضًا عنوان
هذا عنوان

الفئة: استخبارات الخصمالصناعة: الخدمات المالية والمصرفيةالبلد: عالميمصدر*: C3

ملخص تنفيذي

تهديدتأثيرتخفيف

تمت ترقيته تم الإعلان عن نسخة من روبوت Generaly OTP في منتدى الجرائم الإلكترونية.
يحتوي الروبوت على قناة Telegram مخصصة لالتقاط المعلومات وعرضها.

يمكن استخدام OTP الملتقط لتجاوز 2FA والحصول على وصول كامل إلى الحسابات المصرفية.
يتم استهداف تطبيقات الدفع الشائعة مثل Google Pay و Samsung Pay و Apple Pay.

تنفيذ تقنيات وخوارزميات الكشف عن الروبوتات.
تحقق من شرعية المتصل قبل إعطاء المعلومات الحيوية.

التحليل والإسناد

معلومات من البريد

كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت منشورًا على منتدى الجرائم الإلكترونية، حيث كان أحد ممثلي التهديد يعلن عن النسخة المطورة من بشكل عام إعداد البوت.
تم اكتشافه في الأصل في يوليو 2022، بشكل عام هو روبوت Telegram OTP قادر على التقاط OTP و CVV للبطاقة والرموز السرية وتسجيلات المكالمات المخادعة.

[معرف التسمية التوضيحية = «المرفق _20852" align= «alignnone» العرض = «1281"] The crux of the threat actor’s services, advertised on the forum

جوهر خدمات ممثل التهديد، المُعلن عنها في المنتدى [/caption]

معلومات من مصدر حساس

وقد تأكد مصدر حساس على اتصال مع الجهة الفاعلة في مجال التهديد من أن:

ال ترقية تم تصميم الروبوت بشكل عام لتجاوز المصادقة على منصات بوابات الدفع مثل Google Pay و Samsung Pay و Apple Pay.
إنه تهديد كبير للقطاع المصرفي لأنه قادر على سرقة بطاقة CVV والرموز الشخصية.
لضمان شرعية العرض، يستخدم ممثل التهديد ملاحظات العملاء و Telegram كوسيلة لتعزيز المبيعات.

[معرف التسمية التوضيحية = «المرفق _20853" align= «alignnone» width="469"] Core purpose of the Generaly bot

الغرض الأساسي من الروبوت العام [/caption]

طريقة العمل

طريقة عمل الإصدار الذي تمت ترقيته مشابهة جدًا للإصدار السابق مع بعض الوظائف الإضافية، كما هو موضح أدناه.

قبل الهجوم، يقدم الممثل معلومات تحديد الهوية الشخصية للضحية إلى الروبوت (يتم إدخال رقم الهاتف مع /pp أو /call البادئات).
ينتحل الروبوت شخصية كيان شرعي (بنك، متجر للتجارة الإلكترونية، إلخ) عن طريق إجراء مكالمة مزيفة من رقم خدمة العملاء المجاني إلى الهدف المقصود.
يمكن أن يتراوح سبب المكالمة من أي شيء مثل النشاط غير المصرح به على حساب مصرفي أو على بوابة الحساب عبر الإنترنت.
في حالة انتقال المكالمة إلى البريد الصوتي، بدلاً من الهدف البشري، يتم قطع الاتصال بالمكالمة. (هذه ميزة جديدة في إصدار الروبوت الذي تمت ترقيته).
ثم يقوم ممثل التهديد بإقناع الضحية بتسجيل الدخول إلى بوابة البنك، للتحقق إذا <insert reason>حدث الحادث المذكور.
تساعد تطبيقات المصادقة أو الآليات المماثلة المدمجة في مواقع الويب على التحقق من صحة جلسة شرعية من المستخدم المذكور.
ثم يطلب الروبوت من الضحية الضغط على «1" على هاتفه المحمول. نفس الشيء يسمح لـ OTP Bot بالتقاط OTP.
يلتقط الروبوت بيانات الاعتماد التي تم إدخالها ويتم سحب OTP من الضحية.
يتم استخدام نفس الأسلوب لسرقة أرقام CVV والرموز السرية من بطاقات الائتمان/الخصم الصادرة عن البنك.

وظائف إضافية

الميزات التي تمت ترقيتها للبوت هي تضمين تجاوز المصادقة على منصات بوابة الدفع التالية:
- خدمة سامسونج باي
- آبل باي
- خدمة جوجل باي
يمكن البدء بما ورد أعلاه باستخدام الأوامر /samsung و/apple و/google.
ومع ذلك، قبل استخدام أي من طرق الدفع المذكورة أعلاه، يحتاج ممثل التهديد إلى معلومات مثل بطاقة الائتمان وأرقام CVV.
بمجرد إدخال هذه البيانات في تطبيق الدفع المستهدف، يمكن استخدامها لشراء سلع على مواقع التجارة الإلكترونية.
عند الدفع، وبعد إدخال تفاصيل البطاقة بالفعل في تطبيق الدفع، يتم تنفيذ الأمر المناسب.
يتم بعد ذلك إنشاء OTP في قناة Telegram، مما يسمح لممثل التهديد بإكمال عملية الشراء.

المزايا النقدية

تتوفر ثلاثة خيارات للتأجير، أي الخطط اليومية والأسبوعية والشهرية، للروبوت.
هناك خيار لشراء الروبوت مباشرة مقابل 350 دولارًا أمريكيًا.
طريقة الشراء الأساسية هي عبر العملة المشفرة باستخدام Coinbase كمنصة دفع.

[معرف التسمية التوضيحية = «المرفق _20854" align= «alignnone» width="473"] The OTP bot that is advertised for sale on the threat actor’s website - as well as their pricing ranges

The OTP bot that is advertised for sale on the threat actor’s website - as well as their pricing ranges

بوت OTP الذي يتم الإعلان عنه للبيع على موقع الويب الخاص بممثل التهديد - بالإضافة إلى نطاقات التسعير الخاصة به [/caption]

اقرأ أيضًا بشكل عام، إعداد روبوت OTP لتجاوز MFA الذي يؤثر على خدمات P2P

معلومات من منتديات الجرائم الإلكترونية

تم رصد بائع روبوت OTP هذا وهو يبحث عن مطور واجهة برمجة تطبيقات بايثون بليفو ربما لنقل روبوت OTP إلى بيئة مستقرة. كثيرًا ما عانى الروبوت من فترات توقف ولم يتمكن من تقديم خدماته.
كما شوهد البائع وهو يستأجر الشركات التابعة التي يمكنها إنشاء Revolut VCC (بطاقات الائتمان الافتراضية). في وقت كتابة هذا التقرير الاستخباراتي، لم تكن Revolut VCCs معروضة للبيع في المتجر عبر الإنترنت.
يذكر البائع أن الروبوت لم ينجح كثيرًا في سرقة OTP منه بايبل وفينمو تشير الأرقام إلى أن 80٪ من هذه الأرقام قد وضعت علامة على مكالمة الروبوت كرسائل غير مرغوب فيها وتنتقل مباشرة إلى البريد الصوتي.

نشاط وتصنيف الجهات الفاعلة في مجال التهديد

تحديد سمات الجهات الفاعلة في مجال التهديدنشط منذ أكتوبر 2020 ReputationMedium (عدد قليل من الشكاوى والمخاوف في المنتدى).

يمكن وصف خدمة OTP Bypass التي يقدمها الممثل بأنها صالحة، نظرًا لعدم وجود شكاوى ضد الخدمة.
ومع ذلك، كانت هناك حالات قليلة لم تكن فيها السجلات/القوائم المجمعة التي قدمها ممثل التهديد على قدم المساواة أو غير فعالة.

الحالة الحالية التاريخ النشط

يتعامل في الغالب مع مبيعات السجلات وبطاقات الهدايا وقوائم المجموعات الخاصة والخدمات المذكورة أعلاه للحصول على تعويض نقدي.
لديها متجر على الإنترنت يسمى Generaly.Shop، يبيع خدمات السحب التي تستهدف Venmo و Paypal.
يتم الإعلان عن الروبوت في العديد من منتديات قرصنة clearnet.
يمكن أيضًا العثور على الأدوات والمنتجات التي يقدمونها في المنتدى على قناة Telegram الخاصة بهم، والتي يمكن لأي شخص الانضمام إليها.

نقطة الاتصال يمكن الاتصال بالممثل عبر قنوات Telegram التالية:

قناة المتجر ([.] أنا/generalyotp - 801 مشتركًا)
قناة البوت ([.] أنا/GeneralyOtpBot)
قناة مخصصة للقسائم من العملاء الراضين (t [.] me/generalyvouchers)

التصنيف C3 (C: موثوق إلى حد ما، 3: ربما صحيح)

التأثير والتخفيف

التأثيرالتخفيف

يمكن إساءة استخدام OTP الذي تم التقاطه بواسطة الروبوت لإجراء عمليات السحب والحفاظ على الثبات وما إلى ذلك.
يمكن استخدام الروبوت لتجاوز آليات 2FA والحصول على وصول كامل إلى الحسابات عبر الإنترنت/المصرفية.

يمكن تنفيذ تقنيات وخوارزميات الكشف عن الروبوتات لمنع حالات الاحتيال الآلي.
خلق الوعي ضد أساليب الهندسة الاجتماعية.
اطرح الأسئلة الصحيحة وتحقق من شرعية الشخص المتصل، قبل إعطاء معلومات حيوية أو حساسة.

المراجع

الملحق

إحدى حالات الاعتداء بالسرقة التي قام بها مكتب المدعي العام [معرف التسمية التوضيحية = «المرفق 20856" align= «alignnone» width="1032"] Instance of the OTP stealing attack taking place

Instance of the OTP stealing attack taking place

حالة من حوادث السرقة التي نفذها مكتب المدعي العام [/caption] [معرف التسمية التوضيحية = «المرفق _20857" align= «alignnone» width="649"] An instance of the attack taking place

مثال للهجوم الذي وقع [/caption] [معرف التسمية التوضيحية = «المرفق _20858" alignnone» width="1189"] In this case, the bot senses that the call has gone to voicemail, instead of a real person answering the phone. The call is immediately disconnected

In this case, the bot senses that the call has gone to voicemail, instead of a real person answering the phone. The call is immediately disconnected

في هذه الحالة، يستشعر الروبوت أن المكالمة قد انتقلت إلى البريد الصوتي، بدلاً من شخص حقيقي يرد على الهاتف. يتم قطع المكالمة على الفور [/caption] [معرف التسمية التوضيحية = «المرفق _20859" align= «alignnone» width="1410"] Payment methods offered to the customer when proceeding with the transaction

Payment methods offered to the customer when proceeding with the transaction

طرق الدفع المقدمة للعميل عند متابعة المعاملة [/caption] [معرف التسمية التوضيحية = «المرفق _20860" align= «alignnone» width="542"] Domain registration information of generally.shop.domain, suggesting that it is a new website

Domain registration information of generally.shop.domain, suggesting that it is a new website

معلومات تسجيل النطاق الخاصة بـ.shop.domain بشكل عام، مما يشير إلى أنه موقع ويب جديد [/caption] [معرف التسمية التوضيحية = «المرفق _20861" align= «alignnone» width="1411"] No transactions had taken place, on this BTC address, at the time of writing this report. (Source - https[:]//www[.]blockchain[.]com/btc/address/38bc5mwEMJLHEVzkv2smLNFNTjW2QoBPXC). The same observation was made while covering the original report on Generaly OTP Bot, though the BTC Address was different

No transactions had taken place, on this BTC address, at the time of writing this report. (Source - https[:]//www[.]blockchain[.]com/btc/address/38bc5mwEMJLHEVzkv2smLNFNTjW2QoBPXC). The same observation was made while covering the original report on Generaly OTP Bot, though the BTC Address was different

لم تتم أي معاملات، على عنوان BTC هذا، في وقت كتابة هذا التقرير. (المصدر - https [:] //www [.] بلوكتشين [.] كوم/BTC/العنوان/38BC5mwemjlhevzkv2smlnfntjw2QobPXC). تم تقديم نفس الملاحظة أثناء تغطية التقرير الأصلي عن Generaly OTP Bot، على الرغم من أن عنوان BTC كان مختلفًا [/caption] [معرف التسمية التوضيحية = «المرفق _20862" align= «alignnone» width="660"] Telegram channel advertising their services and offerings

Telegram channel advertising their services and offerings

قناة تيليجرام تعلن عن خدماتها وعروضها [/caption] [معرف التسمية التوضيحية = «المرفق _20863" align= «alignnone» width="433"] Telegram channel that advertising their requirement for recruits

Telegram channel that advertising their requirement for recruits

قناة تيليجرام تعلن عن متطلباتها للمجندين [/caption]

CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.

جدول المحتويات

هذا أيضًا عنوان
هذا عنوان

المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek

June 12, 2023

تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS

May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.

جدولة عرض تجريبي

بيانات معلومات التهديدات في الوقت الحقيقي

مزيد من المعلومات والسياق حول الدردشة تحت الأرض

خدمات البحث حسب الطلب

موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.

موثوق بها من قبل أكثر من 400 مؤسسة رائدة

ابدأ

تعرف على المزيد