手機簡訊認證機制萬無一失? SMS PVA 地下服務,不只攔截認證碼,還可蒐集一次性密碼 (OTP)

 

 

 

手機簡訊認證早已成了許多線上平台和應用程式預設的認證方,但現在網路犯罪集團藉著SMS PVA 地下服務,已經能夠大規模破解手機簡訊認證機制, 從事非法購物或洗錢行為。甚至建立僵屍網路、網軍或是假帳號。 
而且當執法單位在追查可疑帳號時,只會追查到感染「簡訊攔截惡意程式 的無辜手機持有人。 令人背脊發涼的問題是,該地下服務不只侷限於攔截認證碼,還可以用來蒐集一次性密碼 (OTP)。

 

 已經企業化經營的SMS PVA服務-手機簡訊 (Short Message Service ,SMS) 電話認證帳號 (Phone-Verified Account,PVA) 服務,近兩年來越來越多。這項地下服務讓提供不需擁有手機號碼也能註冊各種線上服務及平台的帳號。不僅能規避許多線上平台及服務用來認證新註冊帳號的手機簡訊認證機制,犯罪集團還可大量註冊一些拋棄式帳號,或利用經過電話認證的帳號來從事犯罪活動。 

以下內容將分享我們針對某家 SMS PVA 業者 (smspva[.]net) 的營運方式進行深入研究的成果。更詳細的內容請參閱我們的研究報告「SMS PVA:可讓駭客註冊大量假帳號的地下服務」(SMS PVA: An Underground Service Enabling Threat Actors to Register Bulk Fake Accounts)。 

SMS PVA 服務的運作元素


基本上,Smspva[.]net 和其他 SMS PVA 服務都有一些主要共同特點:

  • 行動電話號碼只供單次使用,並且有許多國家的行動電話號碼可供選擇。
  • 平台使用者只能申請服務業者預先指定的某些應用程式的文字簡訊,有些業者會在網站上以「project」(專案) 來區隔。 
  • 不提供電話號碼長期租用服務。
繼續閱讀

援助烏克蘭詐騙趁火打劫,捐款前問自己四件事,避免成為詐騙集團提款機

如果你正在思考要捐款幫助受到俄烏衝突影響的人,要小心許多吸引你慷慨解囊的團體可能表裡不一。

本文整理了詐騙團體可能接觸你的方式,以及假人道支援網站的列表。提醒你,要格外小心透過社群媒體、電子郵件或簡訊來接觸你的人或組織。


重點預覽:

🔻人道援助郵件詐騙

🔻假人道援助網站

🔻在OpenSea上出售NFT ,所得捐給俄烏衝突受害者?

🔻假冒烏克蘭政府的YouTube頻道,進行直播捐款詐騙

🔻人道援助郵件詐騙

🔻捐款前需要考量的四件事


繼續閱讀

十大最常用搜尋引擎及瀏覽技巧

現在這個時代要搜尋資料很簡單。想找到所需內容不用找遍圖書館、也無需翻閱大量書籍或查看目錄。只要在網上輸入關鍵字,你就能獲得無限的結果 – 你要做的只是縮小範圍。你認識的搜尋引擎除了 Google ,Yahoo,還有哪些?你知道有哪個搜尋引擎會將盈餘捐贈給植樹組織?
哪個搜尋引擎會顯示來自前三大搜尋引擎的結果?
哪個搜尋引擎開放原始碼的搜尋引擎?

Top 10 Most Used Search Engines & Tips for Browsing
繼續閱讀

1,500萬筆詐騙交友網址,不只欺騙感情,還會傷透荷包和竊取身分

夢想著一段網路愛情?當心被傷透心和銀行存款。根據美國聯邦貿易委員會(FTC)最新的報告,2021年因交友詐騙所造成的損失達到歷史新高的5.47億美元(比2020年增加80%)。

Fake Dating Sites Aiming to Swindle Your Money & Identity

詐騙如何展開?

詐騙者會傳送訊息給你,邀請你透過連結跟他們聊天。

Romance Scam_20220214_SMS
  • 我想和你一起度過瘋狂的夜晚。一起來吧。到這取得我的手機號碼和位置:[網址]
  • 想跟Elora約會嗎?她願意。她很想要,渴望著被取悅!查看她的訊息並立刻回覆:[網址]

如果你受不住誘惑並點開連結,它會帶你進入假的交友網站。

繼續閱讀

《資安新聞周報》FBI公布俄羅斯駭客開採PrintNightmare漏洞並繞過MFA的手法/78% 美國人認為「元宇宙」只是一波炒/如何解決混合基礎架構的五大資安挑戰?/VOIP 產品的開源多媒體程式庫 PJSIP,內含 5 個嚴重資安漏洞 

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

資安新聞精選

【資安日報】2022年3月16日,新的殭屍網路病毒利用Log4Shell漏洞散布、俄羅斯駭客繞過雙因素驗證機制取得使用者權限          iThome

Instagram可望於今年支援NFT    iThome

公視片庫遺失數位資料 專案小組將釐清責任  中央通訊社

2021年學校與研究單位成攻擊最頻繁目標,臺灣每週遭攻擊次數是全球平均3倍          iThome

FBI公布俄羅斯駭客開採PrintNightmare漏洞並繞過MFA的手法          iThome

Meta在2018年的資料外洩事件被愛爾蘭判罰1,700萬歐元  iThome

78% 美國人認為「元宇宙」只是一波炒作        INSIDE

台灣首場元宇宙資安論壇 高虹安出席:推企業資安投資抵稅          ETtoday新聞雲

Google更新reCAPTCHA Enterprise加入帳戶防護工具      iThome

Log4j引爆軟體供應鏈資安議題,社群加大修補力道 OpenSSF成立推軟體安全改善計畫     iThome電腦報周刊

俄羅斯擬自發憑證以繞過歐美制裁     iThome

駭入三星、Nvidia的駭客要利誘微軟、蘋果等公司員工協助內應 iThome

【資安日報】2022年3月10日,俄羅斯同樣成為網站竄改與資料破壞攻擊的受害者、研究人員揭露新型態CPU推測執行漏洞          iThome

網路設備漏洞引發放大40億倍的驚天DDoS攻擊    iThome

繼續閱讀