Key Takeaway
- Kod pengesahan sedang digodam oleh bot suara yang memanggil dan meminta maklumat anda.
- Penggodam boleh menggunakan kod tersebut untuk memecah masuk akaun daripada Apple hingga Amazon.
- Jangan hantar maklumat peribadi melalui teks dan tutup sebarang panggilan yang mendesak anda menyerahkannya, kata pakar.
Anda mungkin ingin lebih berhati-hati dengan siapa anda bercakap melalui telefon.
Penggodam menggunakan bot suara yang canggih untuk mencuri kata laluan. Penyerang semakin menyasarkan kod pengesahan dua faktor (juga dikenali sebagai 2FA) yang digunakan untuk melindungi segala-galanya daripada akaun Apple ke Amazon.
"Bot suara sangat bagus sehingga pengguna mudah percaya ia tulen, terutamanya apabila ia kelihatan membantu dengan menghentikan aktiviti berniat jahat, seperti pembelian yang mencurigakan," Joseph Carson dari firma keselamatan siber ThycoticCentrify, memberitahu Lifewire dalam temu bual e-mel. "Malangnya, pada hakikatnya, penggodam sedang mencuri wang anda."
Bot Sembang
Penggodam menggunakan bot tersuai untuk membuat panggilan automatik meminta kata laluan sementara anda, Jonathan Tian, pengasas bersama Mobitrix Perfix, penyelesaian iPhone, memberitahu Lifewire. Sesetengah bot membuat anda berfikir anda sedang bercakap dengan wakil perkhidmatan pelanggan sebenar sebelum meminta kod anda. Isu itu baru-baru ini diserlahkan dalam Papan Induk.
"Penggodam boleh menyambung ke akaun anda dengan mudah dan melakukan transaksi atau apa sahaja yang mereka mahu sebaik sahaja anda menyerahkan kod pengesahan," tambah Tian.
Penyerang yang menggunakan bot boleh mendapatkan senarai akaun terjejas yang mengandungi e-mel, nama dan nombor telefon, pakar keselamatan siber Steve Tcherchian memberitahu Lifewire. Penggodam kemudiannya boleh cuba log masuk ke perkhidmatan seperti Amazon atau Google. Mengklik pautan 'set semula kata laluan' akan mencetuskan mesej teks yang dihantar kepada pemilik yang tidak curiga.
"Penyerang kemudian menghubungi pemilik menggunakan bot mengatakan akaun mereka telah dikompromi dan memasukkan kod yang dihantar ke telefon mereka untuk mengesahkan pemilikan akaun mereka," tambahnya. "Apabila pemilik memasukkan kod, pencuri kini mempunyai faktor kedua yang hilang untuk menjejaskan akaun pengguna."
Pakar mengatakan bahawa bot suara penggodam adalah masalah yang semakin meningkat.
"Terdapat lebih banyak bot suara di pasaran sekarang berbanding sepuluh bulan yang lalu-walaupun ia kekal sebagai pelaburan yang mahal, " pakar privasi Hannah Hart memberitahu Lifewire.
Bots boleh meniru semua jenis perkhidmatan untuk penggodam yang membayar harga, bermakna terdapat potensi untuk sebilangan besar pelanggan dihubungi dan ditipu untuk menyerahkan kod 2FA atau OTP (kata laluan sekali), Hart berkata.
Terdapat lebih banyak bot suara di pasaran sekarang berbanding sepuluh bulan lalu.
Oleh kerana bot suara tidak memerlukan penggodam untuk mahir menggunakan teknik kejuruteraan sosial, sesiapa sahaja boleh menggunakannya, "jadi kemungkinan besar kita akan melihat penggodam peniru yang ingin mencuba nasib," Hart ditambahkan.
Penipuan dan semua jenis serangan siber telah meningkat dengan pesat dalam beberapa tahun kebelakangan ini, Bob Lyle, VP kanan di firma keselamatan siber SpyCloud, memberitahu Lifewire. Dan penjenayah menggunakan bukti kelayakan yang dicuri telah menjadi semakin canggih.
"Satu cabaran utama ialah kurang memahami ancaman itu," katanya. "Disebabkan percambahan penipuan telepemasaran dan panggilan automatik, ramai pengguna menganggap nombor telefon mereka telah dikompromi tanpa menyedari cara ia boleh digunakan untuk mengakses akaun mereka."
Melindungi Diri Anda
Terdapat cara untuk menghalang bot suara daripada mencuri kod keselamatan berharga anda.
Jangan sekali-kali masukkan kod 2FA anda melainkan anda memulakan permintaan itu, kata Carson. Dia juga mencadangkan agar anda sentiasa curiga dengan sebarang permintaan yang meminta kod 2FA anda yang tidak anda jangkakan.
"Pastikan anda menukar kata laluan anda secara berkala dan gunakan pengurus kata laluan untuk membantu anda membuat kata laluan unik yang panjang dan kukuh untuk setiap akaun," tambahnya.
Jangan hantar maklumat peribadi melalui teks dan tutup sebarang panggilan yang mendesak anda menyerahkannya, kata Hart. Sebaliknya, semak perkhidmatan terus untuk memantau aktiviti akaun anda dan laporkan sebarang syak wasangka atau kebimbangan kepada pasukan penjagaan pelanggan.
"Ia juga berbaloi untuk menyebarkan berita kepada rakan dan keluarga tentang percubaan penggodaman jahat ini," tambah Hart. "Lagipun, kita semua boleh mendapati diri kita disasarkan oleh bakal penipu, dan tidak selalu mudah untuk menentukan sama ada sistem automatik itu sah atau tidak."
