חגיגה בפישינג: העוזרת של גוגל תאשר תשלומים 

androidpolice.com

הגדרה חדשה תאפשר לתכונת זיהוי קולי (Voice Match) לאשר רכישות שנעשו באמצעות Google Assistant, אותרה בחלונית הגדרות התשלומים והאבטחה של העוזרת במערכת ההפעלה אנדרואיד. "אישרנו עם גוגל שהפיצ'ר החדש הוא חלק מפיילוט מוקדם אך מוגבל המאפשר לך לאשר רכישות בקומץ קטגוריות באמצעות הקול שלך רק באמצעות ה- Assistant. ערימות של מסמכי התמיכה של גוגל עודכנו לאחרונה כדי להתייחס לתכונה זו", כותבים בפרסום androidpolice.

"לאחר שתפעיל את ההגדרה, סביר להניח שלא תבחין שמשהו השתנה, גם אם אתה מנסה לבצע רכישה באמצעות העוזרת. נאמר לנו שהפיילוט המוקדם מוגבל לרכישות דיגיטליות בתוך האפליקציה באמצעות הזמנות Google Play ומסעדות בינתיים. נראה שזה לא עובד במבחנים שלנו לגבי קניות ב- Google (למשל Google Express)." 

לצד הנוחות בשימוש בטלפון הסלולרי או ברמקול החכם לצורך ביצוע קניות מהספה בסלון, החלופה החדשה פותחת פתח למגוון הונאות חדשות. כאלו המבוססות על העתקת דגימת קול של הקורבן ושימוש בדגימה זו לביצוע הזמנות בשמו על בסיס העוזרת של גוגל. טכנולוגיות עדכניות מאפשרות לקחת מקורבן דגימת קול באמצעות שיחת טלפון פשוטה של כמה עשרות שניות. 

שיחות חולין, לכאורה תמימות, בסגנון "שלום, מדברים מהמרפאה שלך" או "שלום, מדברים מסוכנות הביטוח שלך",  הנערכות כחלק משלב מקדים של המתקפה המשתמש בהנדסה חברתית פשוטה, סביר שלא יעלו חשד אצל הקורבן. כאמור, מספיקה שיחה אחת של כמה עשרות שניות כדי לקחת דגימת קול. אפשר לקחת דגימות קול גם מסרטונים שהקורבן מעלה לרשתות חברתיות. לאחר שהתוקף השיג דגימת קול, הוא יכול באמצעות הפיצ'ר החדש של גוגל לרכוש מוצרים בשם הקורבן. לשלוח אותם לכתובת בשליטתו או לגרום נזק פיננסי מכוון לקורבן. 

עם זאת, יש לחכות לראות האם גוגל תטמיע מנגנוני אימות כפול בפיצ'ר החדש. כמו גם, סביר להניח שהמשתמש יוכל לבטל את האפשרות בהגדרות. למרות הגנות אלו, גוגל, כמו אפל, עליבאבא, אמזון וחברות מסחר אלקטרוני אחרות, רוצות לנצל את הטלפון הסלולרי להגדיל הכנסות. וביצוע רכישות דרכן , במקום דרך כרטיסי האשראי, היא דרך מצוינת לעשות זאת. 

אולי יעניין אותך גם