每當大規模數據洩露登上新聞頭條時，安全專家總是不厭其煩地提醒保護線上資產的重要性。 比如避免使用弱密碼，藉助靠譜的密碼管理器，為每個不同的服務 / 網站 / 應用程式配備不同的唯一密碼，以及靈活應用雙因素身份驗證（2FA）或一次性密碼（OTP）等措施。 然而近日，我們又見到了一種新鮮出爐的高效定製語音機器人。 它們能夠自動發出呼叫，以騙取使用者的臨時驗證碼。

視頻截圖（via Metamask Giveaways）

如此一來，在受害者沒有充分意識到的情況下，他們的線上帳戶或數字資產就已被攻擊者染指。

當然，即使沒有用到這種新穎的語音機器人討論，雙因素身份驗證（2FA）也不是萬無一失的，因為一些駭客可能會採取社工手段來忽悠使用者。

另一方面，語音機器人的攻擊手段要複雜許多，首先就是讓受害者相信他們正在與其想要滲透的相關服務的自動化安全系統交談。

為此，Motherboard 借用了一個簡單的例子來演示此類攻擊，期間收到了一通自稱來自 PayPal 防欺詐系統的來電。

OTP bot – cashout bank logs，apple pay（via）

自動語音告訴帳戶持有人，稱有人試圖消費特定的金額，因而系統需要驗證身份以阻止轉帳，從而騙取 2FA / OTP 驗證碼。

為保護您的帳戶，我們現正給您的行動裝置發送驗證碼。 在輸入一串六位數位后，語音會提示 ——『謝謝合作，您的帳戶已被保護，此請求已被阻止』。

然後為了避免使用者立即回過神來，系統還會進一步忽悠使用者 ——『若您的帳戶已被扣除任何款項，請不要擔心。 我們將在 24 – 48 小時內予以退還，本次記錄的編號為 1549926，通話到此結束』。

然而現實是，騙得使用者個人數據（包括真實姓名、電子郵件地址、電話號碼）的駭客，仍可利用這些數據來確定他們是否擁有對應位址的 PayPal 帳戶（或任何類型的其它線上帳戶）。

Motherboard 解釋稱，為了定製這些針對亞馬遜、PayPal、網銀等特定服務的機器人，攻擊者將擔負每月數百美元的使用成本，灰產從業者甚至允許駭客自定義任何類型的機器人呼叫體驗。

作為預防措施，安全研究人員希望使用者充分意識到 2FA / OTP 語音機器人攻擊這件事的存在。 凡是主動向你致電索取驗證碼的電話，都應立即掛斷並聯繫正版的官方客服，必要時可臨時緊急凍結賬戶資產。