La plupart du temps, le vishing nécessite un opérateur qualifié pour manipuler les gens.
Les attaquants doivent non seulement être compétents, mais aussi parler la langue de la victime.
Cependant, nous avons constaté que les attaques utilisant des robots d'appel (call bots) sont très populaires pour contourner l'authentification multifacteur (MFA) : un bot automatisé appelle les gens et leur demande le mot de passe à usage unique (OTP) après que les identifiants ont été saisis.
Il s'agit d'un prototype que nous avons conçu comme preuve de concept.
La plupart des bots sont contrôlés via des canaux Telegram et enverront les données après avoir volé des cookies et mis en place un accès persistant grâce à des commandes spécifiques sur Telegram.
