警方逮捕 JokerOTP MFA 密码捕获工具的卖家

Source: Bleeping Computer

荷兰警方逮捕了一名来自多德雷赫特的21岁男子，涉嫌出售 JokerOTP 钓鱼自动化工具的访问权限，该工具可以拦截一次性密码（OTP）以劫持账户。这是经过三年调查后逮捕的第三名嫌疑人，调查在2025年4月瓦解了 JokerOTP 钓鱼即服务（PhaaS）行动。早前的逮捕包括平台的开发者以及使用别名 spit 和 defone123 的共同开发者。

JokerOTP 钓鱼即服务运营

在两年时间里，JokerOTP 服务据称在13个国家针对用户发动了超过 28,000 起攻击，造成至少 1,000 万美元 的经济损失。

卖家（姓名未公开）通过 Telegram 账户宣传访问权限，向网络犯罪分子提供许可证密钥。订阅者可以配置该工具，自动拨打受害者电话并捕获一次性验证码或其他敏感信息（PIN 码、卡片数据、社会保险号）。

JokerOTP 机器人可以针对以下平台的用户：

• PayPal
• Venmo
• Coinbase
• Amazon
• Apple

JokerOTP 机器人的指令

source: vxdb

• （源文中未提供指令列表；如有已知指令请在此处补充。）

攻击工作原理

一次性密码是临时代码，用于在账户认证时增加额外的安全层。它们通过短信、电子邮件或应用生成，并且有效期很短。通常，攻击者使用通过恶意软件感染或暗网购买获得的被盗凭据尝试登录。合法用户会收到完成登录所需的 OTP。

JokerOTP 会自动给受害者拨打电话，冒充目标服务的代表并请求 OTP。由于电话恰好在验证码发送时到达，许多用户未能识别出这是诈骗。

“受害者被机器人自动呼叫，并被告知犯罪分子正在尝试获取他们的账户，” Anouk Bonekamp，Cybercrime Oost‑Brabant 团队负责人解释道。
“机器人随后要求他们输入一次性密码。因此，受害者误以为配合提供信息是在保护自己。”
— Politie.nl

根据被侵入的账户类型，威胁行为者可能进行未授权的购买、转账或完全劫持账户。

警方调查与建议

调查仍在进行中。荷兰已有数十名 JokerOTP 机器人买家被确认，将在适当时候受到起诉。警方强调，受害者不应因上当受骗而感到羞耻，应保持警惕，注意诈骗的常见迹象，如紧迫感和索取敏感信息（PIN、密码）的请求。

用户建议：

• 在 Have I Been Pwned 上检查是否有针对您的数据泄露。
• 使用荷兰警方的 CheckJack 服务监控被泄露的凭据。
• 对未经请求的电话保持怀疑，即使来电者声称来自可信服务，也不要提供 OTP。
• 启用不依赖短信或电子邮件 OTP 的认证方式，例如硬件安全密钥或认证器应用。