Bot OTP: Cosa sono e come prevenire gli attacchi

Con l'aumentare della dipendenza dai servizi online, l'autenticazione multi-fattore (MFA) è diventata una linea di difesa critica contro gli attacchi informatici. Tra gli elementi MFA più ampiamente utilizzati vi è la password monouso (OTP), un codice temporaneo e univoco destinato a proteggere gli account contro l'accesso non autorizzato. Tuttavia, le OTP non sono più infallibili come sembravano una volta. Una nuova ondata di attività criminale informatica che coinvolge i bot OTP sta sfidando la loro efficacia e rappresenta una seria minaccia per aziende e individui.

Capire come funzionano i bot OTP, i loro metodi di attacco e le strategie per difendersi contro di essi è essenziale. Questa guida scomporrà i meccanismi dietro i bot OTP e fornirà passi concreti che la tua organizzazione può adottare per rafforzare la sicurezza.

Cos'è un OTP?#

Una password monouso (OTP) è un codice unico e temporaneo usato per l’autenticazione singola. Generato attraverso algoritmi basati sulla sincronizzazione temporale o calcoli crittografici, gli OTP forniscono un ulteriore strato di sicurezza per i login o per i sistemi di autenticazione multi-fattore (MFA).

Le OTP possono essere consegnate in diversi modi:

• Codici SMS: Inviati tramite messaggio di testo o voce.
• Codici e-mail: Inviati direttamente alla casella di posta dell’utente.
• App autenticatore: Generati localmente tramite servizi come Google Authenticator o Microsoft Authenticator.

La loro natura limitata nel tempo migliora la sicurezza, con i codici generati dalle app che di solito scadono in 30 a 60 secondi, mentre i codici SMS o e-mail durano 5 a 10 minuti. Questa funzionalità dinamica rende gli OTP molto più sicuri delle password statiche.

Tuttavia, una vulnerabilità chiave risiede nella loro consegna, poiché gli attaccanti possono sfruttare debolezze del sistema o errori umani per intercettarli. Nonostante questo rischio, gli OTP rimangono uno strumento fidato ed efficace per rafforzare la sicurezza online.

Qual è il ruolo degli OTP nel MFA?#

Capire l'autenticazione multi-fattore (MFA) è cruciale nell'attuale panorama digitale. L'MFA rafforza la sicurezza richiedendo agli utenti di verificare la propria identità attraverso più fattori, aggiungendo un ulteriore livello di protezione per prevenire l'accesso non autorizzato.

Un tipico processo MFA coinvolge i seguenti passaggi:

1. Identificativo utente: Questo è il modo in cui il sistema riconosce gli utenti. Potrebbe essere un nome utente, indirizzo e-mail, numero di telefono, ID utente, ID dipendente, numero di carta bancaria o anche un'identità sociale.
2. Primo fattore di autenticazione: Più comunemente, si tratta di una password, ma può anche essere un OTP e-mail o SMS OTP.
3. Secondo fattore di autenticazione: Questo passaggio usa un metodo diverso dal primo, come OTP SMS, OTP tramite app autenticatore, chiavi di sicurezza fisiche o biometria come impronte digitali e riconoscimento facciale.
4. Livello di autenticazione opzionale: In alcuni casi, viene aggiunto un ulteriore livello. Ad esempio, accedendo a un account Apple su un nuovo dispositivo potrebbe essere richiesta una verifica aggiuntiva.

Questo processo a più livelli migliora significativamente la sicurezza, poiché gli attaccanti dovrebbero superare ogni livello per accedere a un account.

L'MFA si basa tipicamente su tre categorie di fattori di autenticazione:

Combinando questi metodi, l'MFA crea una difesa robusta contro l'accesso non autorizzato. Garantisce che anche se un livello viene compromesso, la sicurezza complessiva dell'account rimane intatta, fornendo agli utenti una protezione avanzata in un mondo sempre più connesso.

Cosa sono i bot OTP?#

I bot OTP sono strumenti automatizzati appositamente progettati per rubare password monouso (OTP). A differenza degli attacchi brute force, questi bot si basano sull'inganno e sulla manipolazione, sfruttando errori umani, tattiche di ingegneria sociale o vulnerabilità del sistema per bypassare i protocolli di sicurezza.

Prendendo come esempio il comune processo di verifica "Email (come identificativo) + Password (come primo passo di verifica) + OTP software/SMS (come secondo passo di verifica)", l'attacco si sviluppa tipicamente nei seguenti passaggi:

1. L'attaccante accede alla pagina di login o all'API dell'applicazione, proprio come un utente normale.
2. L'attaccante inserisce le credenziali fisse della vittima, come l'indirizzo e-mail e la password. Queste credenziali sono spesso ottenute da database di informazioni utente trapelate, prontamente disponibili per l'acquisto online. Molti utenti tendono a riutilizzare le password su diverse piattaforme, rendendoli più vulnerabili. Inoltre, le tecniche di phishing vengono frequentemente utilizzate per ingannare gli utenti a rivelare i propri dettagli dell'account.
3. Utilizzando un bot OTP, l'attaccante intercetta o recupera la password monouso della vittima. Nel tempo valido, bypassano il processo di verifica in due passaggi.
4. Una volta che l'attaccante ottiene l'accesso all'account, può procedere a trasferire beni o informazioni sensibili. Per ritardare la scoperta della violazione da parte della vittima, gli attaccanti spesso adottano misure come l'eliminazione di allerta di notifica o altri segnali di avvertimento.

Ora, esploriamo in maggiore dettaglio come vengono implementati i bot OTP e i meccanismi che consentono loro di sfruttare queste vulnerabilità.

Come funzionano i bot OTP?#

Di seguito sono riportate alcune delle tecniche più comuni impiegate dai bot OTP, descritte insieme a esempi del mondo reale.

Bot di phishing#

Il phishing è uno dei metodi più comuni utilizzati dai bot OTP. Ecco come funziona:

1. L'esca (messaggio fraudolento): La vittima riceve un'e-mail o un messaggio di testo fasullo che pretende di provenire da una fonte fidata, come la loro banca, una piattaforma di social media o un servizio online popolare. Il messaggio di solito afferma che c'è un problema urgente, come un tentativo di accesso sospetto, un problema di pagamento o una sospensione dell'account, facendo pressione sulla vittima affinché agisca immediatamente.

2. La falsa pagina di login: Il messaggio include un link che dirige la vittima a una falsa pagina di login progettata per sembrare esattamente come il sito ufficiale. Questa pagina è stata impostata dagli attaccanti per catturare le credenziali di accesso della vittima.

3. Credenziali rubate e MFA attivato: Quando la vittima inserisce il proprio nome utente e la password sulla falsa pagina, il bot di phishing utilizza rapidamente queste credenziali rubate per accedere al servizio reale. Questo tentativo di accesso attiva quindi una richiesta di autenticazione multi-fattore (MFA), come una password monouso (OTP) inviata al telefono della vittima.

4. Ingannare la vittima per ottenere l'OTP: Il bot di phishing inganna la vittima facendogli fornire l'OTP mostrando un messaggio sulla falsa pagina (es. "Perfavore inserisci il codice inviato al tuo telefono per la verifica"). Credendo che sia un processo legittimo, la vittima inserisce l'OTP, dando inconsapevolmente all'attaccante tutto ciò di cui ha bisogno per completare l'accesso al servizio reale.

Ad esempio, nel Regno Unito, strumenti come "SMS Bandits" sono stati usati per realizzare attacchi di phishing sofisticati tramite messaggi di testo. Questi messaggi imitano comunicazioni ufficiali, ingannando le vittime nel rivelare le credenziali del loro account. Una volta compromesse le credenziali, SMS Bandits consente ai criminali di bypassare l'autenticazione multi-fattore (MFA) avviando il furto di OTP. In modo allarmante, questi bot ottengono un tasso di successo di circa l'80% una volta inserito il numero di telefono del bersaglio, evidenziando la pericolosa efficacia di tali schemi di phishing. Scopri di più

Bot malware#

I bot OTP basati su malware rappresentano una seria minaccia, prendendo di mira direttamente i dispositivi per intercettare gli OTP basati su SMS. Ecco come funziona:

1. Le vittime scaricano inconsapevolmente app dannose: Gli attaccanti creano app che sembrano essere software legittimi, come strumenti bancari o di produttività. Le vittime spesso installano queste app fasulle attraverso annunci fuorvianti, negozi di app non ufficiali o link di phishing inviati tramite e-mail o SMS.
2. Il malware ottiene accesso a permessi sensibili: Una volta installata, l'app richiede permessi per accedere a SMS, notifiche o altri dati sensibili sul dispositivo della vittima. Molti utenti, ignari del rischio, concedono questi permessi senza rendersi conto delle vere intenzioni dell'app.
3. Il malware monitora e ruba gli OTP: Il malware si esegue silenziosamente in background, monitorando i messaggi SMS in arrivo. Quando un OTP viene ricevuto, il malware lo inoltra automaticamente agli attaccanti, offrendo loro la possibilità di bypassare l'autenticazione a due fattori.

Un rapporto ha rivelato una campagna che utilizza app Android dannose per rubare messaggi SMS, inclusi gli OTP, colpendo 113 paesi, con India e Russia duramente colpite. Sono stati trovati oltre 107,000 campioni di malware. I telefoni infettati possono essere inconsapevolmente utilizzati per registrarsi per account e raccogliere OTP 2FA, rappresentando rischi di sicurezza seri. Scopri di più

SIM swapping#

Attraverso lo SIM swapping, un attaccante prende controllo di un numero di telefono della vittima ingannando i fornitori di telecomunicazioni. Come funziona:

1. Impersonamento:  L'attaccante raccoglie informazioni personali sulla vittima (come nome, data di nascita o dettagli dell'account) attraverso phishing, ingegneria sociale o violazioni di dati.
2. Contattare il fornitore:  Utilizzando queste informazioni, l'attaccante chiama il fornitore di telecomunicazioni della vittima, fingendo di essere la vittima, e richiede la sostituzione della SIM.
3. Approvazione del trasferimento:  Il fornitore viene ingannato a trasferire il numero della vittima a una nuova SIM controllata dall'attaccante.
4. Intercettazione:  Una volta completato il trasferimento, l'attaccante ottiene accesso a chiamate, messaggi e password monouso (OTP) basate su SMS, consentendo loro di bypassare misure di sicurezza per conti bancari, e-mail e altri servizi sensibili.

Gli attacchi di SIM swapping sono in aumento, causando danni finanziari significativi. Solo nel 2023, l'FBI ha indagato su 1,075 incidenti di SIM swapping, con perdite per $48 milioni. Scopri di più

Bot chiamate vocali#

I bot vocali utilizzano tecniche avanzate di ingegneria sociale per ingannare le vittime a rivelare i loro OTP (password monouso). Questi bot sono dotati di script linguistici preimpostati e opzioni vocali personalizzabili, permettendo loro di impersonare centri di assistenza legittimi. Fingendo di essere entità fidate, manipolano le vittime a divulgare codici sensibili al telefono. Come funziona:

1. Il bot effettua la chiamata: Il bot contatta la vittima, fingendo di essere dalla loro banca o un fornitore di servizi. Informa la vittima di "attività sospette" rilevate sul loro account per creare urgenza e paura.
2. Richiesta di verifica dell'identità: Il bot chiede alla vittima di "verificare la propria identità" per proteggere il loro account. Questo viene fatto richiedendo alla vittima di inserire il loro OTP (inviato dal vero fornitore di servizi) al telefono.
3. Violazione dell'account immediata: Una volta che la vittima fornisce l'OTP, l'attaccante lo utilizza entro pochi secondi per ottenere l'accesso all'account della vittima, spesso rubando denaro o dati sensibili.

La piattaforma Telegram è frequentemente utilizzata dai criminali informatici per creare e gestire bot o per funzionare come canale di supporto clienti per le loro operazioni. Un esempio è BloodOTPbot, un bot basato su SMS capace di generare chiamate automatiche che impersonano il supporto clienti di una banca.

Attacchi SS7#

SS7 (Signaling System 7) è un protocollo telecom cruciale per instradare chiamate, SMS e roaming. Tuttavia, presenta vulnerabilità che gli hacker possono sfruttare per intercettare SMS, incluse le password monouso (OTP), e bypassare l'autenticazione a due fattori (2FA). Questi attacchi, sebbene complessi, sono stati utilizzati in crimini informatici significativi per rubare dati e denaro. Questo evidenzia la necessità di sostituire le OTP basate su SMS con opzioni più sicure come autenticatori basati su app o token hardware.

Come fermare gli attacchi dei bot OTP?#

Gli attacchi dei bot OTP stanno diventando sempre più efficaci e diffusi. Il crescente valore degli account online, inclusi conti finanziari, portafogli di criptovalute e profili social media, li rende bersagli lucrativi per i criminali informatici. Inoltre, l'automazione degli attacchi tramite strumenti come i bot basati su Telegram ha reso queste minacce più accessibili, anche agli hacker amatoriali. Infine, molti utenti ripongono una fiducia cieca nei sistemi MFA, sottovalutando spesso quanto facilmente le OTP possano essere sfruttate.

Pertanto, proteggere la tua organizzazione dai bot OTP richiede di rafforzare la tua sicurezza in diversi settori chiave.

Rafforzare la sicurezza dell'autenticazione primaria#

Ottenere l'accesso a un account utente richiede di superare più livelli di protezione, il che rende critico il primo livello di autenticazione. Come detto in precedenza, le password da sole sono altamente vulnerabili agli attacchi dei bot OTP.

• Utilizza il social login o SSO aziendale: Utilizza fornitori di identità di terze parti sicuri (IdP) per l'autenticazione primaria, come Google, Microsoft, Apple per il social login, o Okta, Google Workspace, e Microsoft Entra ID per l'SSO. Questi metodi passwordless offrono una alternativa più sicura alle password che gli attaccanti possono facilmente sfruttare.
• Implementare CAPTCHA e strumenti di rilevamento bot: Proteggi il tuo sistema distribuendo soluzioni di rilevamento bot per bloccare i tentativi di accesso automatizzati.
• Rafforzare la gestione delle password: Se le password sono ancora in uso, applica politiche di password più severe, incoraggia gli utenti a adottare gestori di password (es. Google Password Manager o iCloud Passwords), e richiedi aggiornamenti periodici delle password per una maggiore sicurezza.

Applicare un'autenticazione multi-fattore più intelligente#

Quando la prima linea di difesa viene superata, il secondo livello di verifica diventa critico.

• Passa all'autenticazione basata su hardware: Sostituisci gli OTP SMS con chiavi di sicurezza (come YubiKey) o passkey secondo lo standard FIDO2. Questi richiedono il possesso fisico e sono resistenti al phishing, SIM swapping, e attacchi man-in-the-middle, offrendo un livello di sicurezza molto più forte.
• Implementare l'MFA adattiva: L'MFA adattiva analizza continuamente fattori contestuali come la posizione dell'utente, il dispositivo, il comportamento della rete e i modelli di login. Ad esempio, se un tentativo di accesso viene effettuato da un dispositivo non riconosciuto o una posizione geografica insolita, il sistema può automaticamente richiedere ulteriori passaggi come rispondere a una domanda di sicurezza o verificare l'identità tramite autenticazione biometrica.

Educazione dell'utente#

Gli esseri umani restano l'anello più debole, quindi rendi l'educazione una priorità assoluta.

• Utilizza un branding chiaro e URL per ridurre al minimo i rischi di phishing.
• Forma gli utenti e i dipendenti a riconoscere i tentativi di phishing e le app dannose. Ricorda periodicamente agli utenti di evitare di condividere gli OTP tramite chiamate vocali o pagine di phishing, per quanto convincenti possano sembrare.
• Quando viene rilevata un'attività anomala dell'account, notifica prontamente gli amministratori o termina programmaticamente l'operazione. I registri delle verifiche e i webhook possono aiutare questo processo a funzionare.

Ripensare l'autenticazione con strumenti dedicati#

Implementare un sistema di gestione delle identità interno è costoso e richiede molte risorse. Invece, le aziende possono proteggere gli account utente in modo più efficiente collaborando con servizi di autenticazione professionali.

Soluzioni come Logto offrono una combinazione potente di flessibilità e robusta sicurezza. Con funzioni adattive e opzioni facili da integrare, Logto aiuta le organizzazioni a rimanere all'avanguardia nelle minacce alla sicurezza in evoluzione come i bot OTP. È anche una scelta conveniente per ampliare la sicurezza mentre la tua azienda cresce.

Scopri la gamma completa delle capacità di Logto, inclusi Logto Cloud e Logto OSS, visitando il sito web Logto: