I bot basati su Telegram vengono utilizzati per rubare le password monouso richieste nella sicurezza dell'autenticazione a due fattori (2FA).
Mercoledì, i ricercatori di Intel 471 hanno affermato di aver visto un “aumento” del numero di questi servizi forniti nel sottosuolo del web e, negli ultimi mesi, sembra che la varietà di soluzioni di elusione 2FA si stia espandendo, con i bot che stanno diventando uno dei preferiti.
L'autenticazione a due fattori (2FA) può assumere la forma di token, codici, collegamenti, marcatori biometrici o OTP (one-time password) o toccando un dongle fisico per confermare l'identità del proprietario di un account. Molto spesso, i token 2FA vengono inviati tramite un messaggio di testo a un telefono o a un indirizzo e-mail.
Sebbene la 2FA possa migliorare l'uso delle sole password per proteggere i nostri account, gli autori delle minacce hanno sviluppato rapidamente metodi per intercettare l'OTP, ad esempio tramite malware o ingegneria sociale.
Secondo Intel 471, da giugno un certo numero di servizi che eludono la 2FA stanno abusando del servizio di messaggistica di Telegram. Telegram viene utilizzato per creare e gestire bot o come host di canale di “assistenza clienti” per i criminali informatici che eseguono questo tipo di operazioni.
“In questi canali di supporto, gli utenti spesso condividono il loro successo durante l'utilizzo del bot, spesso guadagnando migliaia di dollari dagli account delle vittime”, affermano i ricercatori.
I bot di Telegram vengono utilizzati per chiamare automaticamente potenziali vittime nei tentativi di phishing, per inviare messaggi che affermano di provenire da una banca e per tentare in altro modo di attirare le vittime a consegnare codici OTP. Altri bot prendono di mira gli utenti dei social media nei tentativi di attacco di phishing e SIM-swap.
Per creare un bot, è richiesto un livello base di programmazione, ma niente in confronto allo sviluppo di malware personalizzato, ad esempio. Ciò che peggiora le cose è che, allo stesso modo delle botnet tradizionali, i bot di Telegram possono essere noleggiati e, una volta inviato il numero di telefono della vittima designata, gli attacchi possono iniziare con pochi clic.
I ricercatori hanno citato due particolari bot di interesse; SMSRanger e BloodOTPbot.
L'interfaccia di SMSRanger e la configurazione dei comandi sono simili alla piattaforma di collaborazione Slack e può essere utilizzata per indirizzare servizi particolari tra cui PayPal, Apple Pay e Google Play. BloodOTPbot è un bot basato su SMS che può essere utilizzato anche per generare chiamate automatiche che impersonano il personale della banca.
Intel 471 “I bot mostrano che alcune forme di autenticazione a due fattori possono avere i propri rischi per la sicurezza”, ha commentato Intel 471. “Mentre i servizi OTP basati su SMS e chiamate telefoniche sono meglio di niente, i criminali hanno trovato il modo di aggirare le misure di sicurezza socialmente.”
Ad aprile, Check Point Research ha rivelato l'esistenza di un Trojan ad accesso remoto (RAT) soprannominato ToxicEye che abusa della piattaforma Telegram, sfruttando il servizio di comunicazione all'interno della sua infrastruttura di comando e controllo (C2).
Copertura precedente e correlata
WhatsApp vs Signal vs Telegram vs Facebook: quali dati hanno su di te?
Telegram ora ti consente di visualizzare la cronologia chat di WhatsApp
ToxicEye: Trojan abusa della piattaforma Telegram per rubare i tuoi dati
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499, o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 