黑客正在利用谷歌语音认证进行攻击
2022-1-29 11:45:0 Author: www.4hou.com(查看原文) 阅读量:21 收藏

你是宠物Fluffy失踪了。

你在网上发布了你丢失的宠物的照片,希望一些好心人能找到Fluffy,同时也留下了你的电话号码,并祈祷你能找到它。

之后你收到了某人的短信或电子邮件,他声称他们找到了Fluffy。或者可能是,有人想买你在Craigslist上发布的那个旧沙发。

这个自称是找到了丢失的宠物或者是想买旧沙发的人告诉你,他们不想被骗,他们以前听说过网上有很多虚假的信息,想确认一下你是一个真实存在的人,而不是一个机器人。或者他们可能会说,他们想确认你是宠物的真正主人。

所以他们会告诉你,他们会以语音电话或短信的形式给你发送一个谷歌认证代码,然后要求你把这个号码重复给他们,这样来证明你是真实存在的。

实际上,他们是以你的名义,用你的电话号码设置了一个谷歌语音账户,而 "认证" 代码实际上是完成整个设置过程所需的验证代码。

有越来越多的骗子正在进行这种谷歌语音骗局,以至于本周联邦调查局对犯罪分子发出了警告,并开始对此进行调查。

为什么骗子会使用谷歌语音?

谷歌语音服务会提供虚拟的电话号码,可用于拨打国内和国际电话,或从浏览器发送和接收文本信息。联邦调查局说,该账户可用于发起任何数量的诈骗,所有的这些诈骗都无法直接追溯到诈骗者身上。此外,该代码还可用于访问和劫持Gmail账户。

骗子经常会在一些商业网站的欺诈性广告中使用谷歌语音号码,或者用于其他犯罪活动,隐藏他们的真实身份。有时,骗子还在寻找目标受害者的其他信息,以便于用来访问在线账户或以受害者的名义开设新账户。

虽然谷歌曾经发出过信息来警告收件人不要与任何人分享号码,但至少在这个案例中,骗子曾经通过用外语发送信息来进行伪装。正如Nerd钱包上个月所报道的那样,纽约的记者Kelly Rissman将家具挂牌出售,却被一个骗子联系上了。之后她很快就收到了一个来自谷歌的六位数的验证码,还有一些用菲律宾语写的东西。如果翻译一下,就会发现上面写的是"这是你的谷歌语音验证码,不要与其他人分享"。

剖析谷歌语音的骗局

正如联邦贸易委员会(FTC)在10月份解释的那样,谷歌语音验证码骗局通常是这样运作的。

首先犯罪分子下载谷歌语音应用程序,并将其链接到Gmail账户。

他们通过检查在线市场来寻找受害者。一般会寻找在Craigslist或Facebook Marketplace等网站上发布东西进行出售的人。他们还会对那些发帖寻求帮助寻找走失宠物的人下手,并且还曾经在约会网站上实施过这种骗局。

他们说,他们过去曾被机器人骗过,并要求卖家或宠物主人接收并发回一个代码,证明他们是一个真实存在的人。

当受害者发回代码时,骗子就可以将谷歌语音号码与受害者的认证电话联系起来。

这是一个很难察觉的骗局,因为被攻击目标没有被要求提供个人资料或账户号码,而且,正如Rissman所指出的那样,她没有发现犯罪分子使用任何方式来窃取她的身份或她的钱。

截至9月,身份盗窃资源中心(ITRC)报告说,这种骗局发展的很迅猛,在他们上个月收到的投诉中,近一半(49%)是关于谷歌语音骗局的。

如何避免谷歌语音骗局

联邦调查局为消费者提供了下面这些方法,确保自己不会成为诈骗的受害者。

永远不要与他人分享任何形式的谷歌验证码。

只与买家、卖家和Fluffy-finder当面交易。如果要进行在线交易,确保你使用的是合法的支付方式。

不要把你的电子邮件地址透露给那些通过电话进行交易的买家或者卖家。

永远不要让别人催促你进行交易。如果他们在向你施压,让你立即作出回应,他们很可能是想操纵你,让你不假思索地采取行动。

本文翻译自:https://threatpost.com/google-voice-authentication-scam/177421/如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/Zrng
如有侵权请联系:admin#unsafe.sh