被害者の携帯電話に着信が入ります。数秒しか続かないかもしれませんが、被害者はこれにより、サイバー犯罪者がオンラインアカウントを乗っ取るか、暗号通貨やデジタルウォレットを空にできるコードを渡すことができます。

サイバー犯罪者の攻撃者コンソールには、「成功しました！」というメッセージが表示されます。

...

しかし、サイトのコードにあるバグが、サイトのバックエンドデータベースを暗号化しなかったことを明らかにしました。このデータベースには、サイトの創設者とメンバーの詳細が含まれており、サイトが立ち上げられて以来の攻撃ごとに行われた完全なログ、対象となった被害者の電話番号、メンバーが実行した攻撃の日時とメンバーなどが記録されています。

...

バックエンドデータベースは、ワンタイムパスコードの傍受操作がどのように機能するかについて、貴重な洞察を提供します。Estateなどのサービスは、社会工学攻撃への耐久性をテストすることに関する表面的に合法的なサービスを提供することを広告していますが、これらのサービスを悪意のあるサイバー攻撃に利用するメンバーを許可するため、法的なグレー領域に位置しています。

...

データベースには、Estateの創設者が、サイトを利用する主に犯罪行為者であることを認識しており、Estateは長い間そのメンバーにプライバシーを約束してきました。

...

サービスを提供している間に、サイバー犯罪者がこれらの防衛策を回避する能力があることは、技術企業、銀行、暗号ウォレットや取引所、電気通信企業などに、さらに多くの作業を行う必要があることを示しています。

...

Unit 221Bのニクソン氏は、企業がネットワークを悪用しようとする悪意のある行為者との「永遠の戦い」にあると述べ、当局はこれらのサービスに取り組むべきだと述べています。

...

しかし、いくつかのメンバーは、自身の識別可能な情報の断片（電子メールアドレスやオンラインハンドルを含む）を攻撃用のスクリプトや実施された攻撃で残すことで、Estateのプライバシー保護の約束を信用していました。

...

Estateのデータベースには、メンバーの攻撃スクリプトも含まれており、攻撃者が顧客のアイデンティティを検証するための、テックジャイアントや銀行がセキュリティ機能（ワンタイムパスコードなど）を実装する方法の脆弱性を悪用する具体的な方法が示されています。

...

ベテランセキュリティレポーターであるブライアン・クレブス氏は、以前2021年にワンタイムパスコード操作について報告し、これらの犯罪行為の明確な理由は「依頼のない電話に対して何らかの情報を提供しないでください」と述べています。

...

しかし、ワンタイムパスコードを使用するサービスは、使用しないサービスよりもユーザーにとってより良いセキュリティを提供しますが、サイバー犯罪者がこれらの防御策を回避できる能力があることから、技術企業、銀行、暗号ウォレットや取引所、および電気通信企業には、さらなる作業が必要です。

...

作成者：テッククランチの