Boty OTP: Czym są i jak zapobiegać atakom

Wraz z rosnącą zależnością od usług online, uwierzytelnianie wieloskładnikowe (MFA) stało się kluczową linią obrony przed cyberatakami. Jednym z najczęściej używanych elementów MFA jest jednorazowe hasło (OTP), tymczasowy, unikalny kod mający na celu zabezpieczenie kont przed nieautoryzowanym dostępem. Jednak OTP nie są już tak niezawodne, jak się wydawało. Nowa fala działalności cyberprzestępców, obejmująca boty OTP, podważa ich skuteczność i stanowi poważne zagrożenie zarówno dla firm, jak i osób prywatnych.

Zrozumienie, jak działają boty OTP, ich metody ataku oraz strategie obrony przed nimi, jest kluczowe. Ten przewodnik rozłoży na czynniki pierwsze mechanikę działania botów OTP i dostarczy praktycznych kroków, które Twoja organizacja może podjąć w celu zwiększenia bezpieczeństwa.

Co to jest OTP?#

Jednorazowe hasło (OTP) to unikalny, czasowo ograniczony kod używany do jednorazowej autoryzacji. Generowane poprzez algorytmy oparte na synchronizacji czasu lub obliczeniach kryptograficznych, OTP zapewniają dodatkową warstwę bezpieczeństwa dla logowania lub systemów uwierzytelniania wieloskładnikowego (MFA).

OTPy mogą być dostarczane na kilka sposobów:

• Kody SMS: Wysyłane za pośrednictwem tekstu lub wiadomości głosowej.
• Kody e-mail: Wysyłane bezpośrednio do skrzynki odbiorczej użytkownika.
• Aplikacje uwierzytelniające: Wygenerowane lokalnie za pośrednictwem usług takich jak Google Authenticator czy Microsoft Authenticator.

Krótka żywotność OTP zwiększa bezpieczeństwo, ponieważ kody generowane przez aplikacje zazwyczaj wygasają po 30 do 60 sekund, podczas gdy kody SMS lub e-mail trwają 5 do 10 minut. Ta dynamiczna funkcjonalność czyni OTP znacznie bezpieczniejszymi niż statyczne hasła.

Jednak kluczowym punktem podatności jest ich dostarczanie, ponieważ atakujący mogą wykorzystywać słabości systemu lub błędy ludzkie do przechwytywania ich. Pomimo tego ryzyka, OTP pozostają zaufanym i skutecznym narzędziem do wzmacniania bezpieczeństwa online.

Jakie jest znaczenie OTP w MFA?#

Zrozumienie Uwierzytelniania Wieloskładnikowego (MFA) jest kluczowe we współczesnym cyfrowym krajobrazie. MFA wzmacnia bezpieczeństwo, wymagając od użytkowników weryfikacji swojej tożsamości za pomocą wielu czynników, dodając dodatkową warstwę ochrony w celu zapobiegania nieautoryzowanemu dostępowi.

Typowy proces MFA obejmuje następujące kroki:

1. Identyfikator użytkownika: Tak system rozpoznaje użytkowników. Może to być nazwa użytkownika, adres e-mail, numer telefonu, identyfikator użytkownika, identyfikator pracownika, numer karty bankowej, a nawet tożsamość społeczna.
2. Pierwszy czynnik uwierzytelniania: Najczęściej jest to hasło, ale może to być również e-mail OTP lub SMS OTP.
3. Drugi czynnik uwierzytelniania: Ten krok używa metody innej niż pierwsza, takiej jak SMS OTP, OTP aplikacji uwierzytelniającej, fizyczne klucze bezpieczeństwa lub biometryka, taka jak odciski palców i rozpoznawanie twarzy.
4. Opcjonalna trzecia warstwa uwierzytelniania: W niektórych przypadkach dodaje się dodatkową warstwę. Na przykład logowanie na konto Apple na nowym urządzeniu może wymagać dodatkowej weryfikacji.

Ten wielowarstwowy proces znacznie zwiększa bezpieczeństwo, ponieważ atakujący musieliby obejść każdą warstwę, aby uzyskać dostęp do konta.

MFA zazwyczaj polega na trzech kategoriach czynników uwierzytelniania:

Poprzez łączenie tych metod, MFA tworzy solidną obronę przed nieautoryzowanym dostępem. Zapewnia, że nawet jeśli jedna warstwa zostanie naruszona, ogólne bezpieczeństwo konta pozostaje nienaruszone, zapewniając użytkownikom zwiększoną ochronę w coraz bardziej połączonym świecie.

Czym są boty OTP?#

Boty OTP to zautomatyzowane narzędzia zaprojektowane specjalnie do kradzieży jednorazowych haseł (OTP). W przeciwieństwie do ataków typu brute-force, te boty polegają na oszustwie i manipulacji, wykorzystując błędy ludzkie, taktyki inżynierii społecznej lub podatności systemów w celu obejścia protokołów bezpieczeństwa.

Biorąc pod uwagę typowy proces weryfikacji "Email (jako identyfikator) + Hasło (jako pierwszy etap weryfikacji) + Software/SMS OTP (jako drugi etap weryfikacji)" jako przykład, atak zazwyczaj rozwija się w następujących etapach:

1. Atakujący uzyskuje dostęp do strony logowania aplikacji lub API, jak zwykły użytkownik.
2. Atakujący wprowadza stałe dane uwierzytelniające ofiary, takie jak jej adres e-mail i hasło. Dane te często są pozyskiwane z baz danych wyciekłych informacji o użytkownikach, które można łatwo zakupić online. Wielu użytkowników ma tendencję do ponownego używania haseł na różnych platformach, co czyni je bardziej podatnymi. Dodatkowo, techniki phishingu są często używane do zwodzenia użytkowników w celu ujawnienia danych konta.
3. Za pomocą bota OTP, atakujący przechwytuje lub uzyskuje jednorazowe hasło ofiary. W ciągu ważnego okresu czasu, omija proces weryfikacji dwuetapowej.
4. Gdy atakujący uzyska dostęp do konta, może przystąpić do transferu aktywów lub wrażliwych informacji. Aby opóźnić odkrycie przez ofiarę naruszenia, atakujący często podejmują kroki, takie jak usuwanie powiadomień lub innych znaków ostrzegawczych.

Teraz przyjrzyjmy się bardziej szczegółowo, jak implementowane są boty OTP i mechanizmy, które pozwalają im wykorzystywać te podatności.

Jak działają boty OTP?#

Poniżej przedstawiono niektóre z najczęściej stosowanych technik przez boty OTP, wraz z przykładami z życia wziętymi.

Boty phishingowe#

Phishing to jedna z najczęstszych metod używanych przez boty OTP. Oto jak to działa:

1. Przynęta (fałszywa wiadomość): Ofiara otrzymuje sfałszowany e-mail lub wiadomość tekstową udającą zaufane źródło, takie jak jej bank, platforma mediów społecznościowych lub popularna usługa online. Wiadomość zwykle twierdzi, że istnieje pilny problem, taki jak podejrzane próby logowania, problem z płatnością lub zawieszenie konta, zmuszając ofiarę do podjęcia natychmiastowych działań.

2. Fałszywa strona logowania: Wiadomość zawiera link, który przekierowuje ofiarę na fałszywą stronę logowania zaprojektowaną, aby wyglądać dokładnie jak oficjalna strona. Ta strona została skonfigurowana przez atakujących w celu zdobycia danych logowania ofiary.

3. Kradzież danych uwierzytelniających i uruchomienie MFA: Gdy ofiara wprowadza swoją nazwę użytkownika i hasło na fałszywej stronie, bot phishingowy szybko wykorzystuje te skradzione dane do logowania się do prawdziwej usługi. Próba logowania uruchamia następnie żądanie uwierzytelniania wieloskładnikowego (MFA), takiego jak jednorazowe hasło (OTP) wysłane na telefon ofiary.

4. Oszukanie ofiary w celu uzyskania OTP: Bot phishingowy zwodzi ofiarę do podania OTP poprzez wyświetlenie monitu na fałszywej stronie (np. „Proszę wprowadzić kod wysłany na Twój telefon w celu weryfikacji”). Myśląc, że to prawdziwy proces, ofiara wprowadza OTP, nieświadomie dając atakującemu wszystko, czego potrzebuje, aby zakończyć logowanie do rzeczywistej usługi.

Na przykład w Wielkiej Brytanii narzędzia takie jak „SMS Bandits” były używane do przeprowadzania zaawansowanych ataków phishingowych za pomocą wiadomości tekstowych. Te wiadomości naśladują oficjalne komunikaty, zwodząc ofiary do ujawnienia danych dostępu do konta. Po skompromitowaniu danych, SMS Bandits umożliwiają przestępcom obejście uwierzytelniania wieloskładnikowego (MFA) poprzez inicjowanie kradzieży OTP. Co alarmujące, te boty osiągają wskaźnik sukcesu na poziomie około 80% po wprowadzeniu numeru telefonu ofiary, co podkreśla niebezpieczną skuteczność takich schematów phishingowych. Dowiedz się więcej

Boty złośliwego oprogramowania#

Boty OTP oparte na złośliwym oprogramowaniu stanowią poważne zagrożenie, bezpośrednio celując w urządzenia, aby przechwytywać SMS-y z OTP. Oto jak to działa:

1. Ofiary nieświadomie pobierają złośliwe aplikacje: Atakujący tworzą aplikacje, które wyglądają jak legalne oprogramowanie, takie jak narzędzia bankowe czy produktywne. Ofiary często instalują te fałszywe aplikacje przez wprowadzające w błąd reklamy, nieoficjalne sklepy z aplikacjami lub linki phishingowe przesyłane e-mailem lub SMS-em.
2. Złośliwe oprogramowanie uzyskuje dostęp do wrażliwych uprawnień: Po zainstalowaniu aplikacja prosi o uprawnienia do dostępu do SMS-ów, powiadomień lub innych wrażliwych danych na urządzeniu ofiary. Wiele nieświadomych użytkowników przyznaje te uprawnienia, nie zdając sobie sprawy z prawdziwego zamiaru aplikacji.
3. Złośliwe oprogramowanie monitoruje i kradnie OTP: Złośliwe oprogramowanie działa cicho w tle, monitorując przychodzące wiadomości SMS. Gdy zostanie otrzymany OTP, złośliwe oprogramowanie automatycznie przesyła go do atakujących, umożliwiając im obejście uwierzytelniania dwuskładnikowego.

Raport ujawnił kampanię używającą złośliwych aplikacji na Androida do kradzieży SMS-ów, w tym OTP, wpływającą na 113 krajów, przy czym Indie i Rosja były najbardziej dotknięte. Odkryto ponad 107 000 próbek złośliwego oprogramowania. Zainfekowane telefony mogą być nieświadomie używane do rejestracji na kontach i pozyskiwania OTP 2FA, co stanowi poważne zagrożenie bezpieczeństwa. Dowiedz się więcej

Przejęcie SIM#

Poprzez przekierowanie SIM, atakujący przejmuje kontrolę nad numerem telefonu ofiary, oszukując dostawców usług telekomunikacyjnych. Oto jak to działa:

1. Podszywanie się:  Atakujący zbiera informacje osobiste o ofierze (takie jak imię, data urodzenia, dane konta) poprzez phishing, inżynierię społeczną lub wycieki danych.
2. Kontakt z dostawcą:  Używając tych informacji, atakujący dzwoni do dostawcy usług telekomunikacyjnych ofiary, udając ofiarę i żąda wymiany karty SIM.
3. Zatwierdzenie transferu:  Dostawca zostaje oszukany i przenosi numer telefonu ofiary na nową kartę SIM kontrolowaną przez atakującego.
4. Przechwytywanie:  Po zakończeniu transferu, atakujący uzyskuje dostęp do połączeń, wiadomości i SMS-ów z OTP, co pozwala mu obejść środki bezpieczeństwa dla kont bankowych, e-maili i innych wrażliwych usług.

Ataki przejęcia SIM stają się coraz częstsze, powodując znaczne szkody finansowe. W samym 2023 roku FBI badało 1 075 przypadków przejęcia SIM, co skutkowało stratami w wysokości 48 milionów dolarów. Dowiedz się więcej

Boty telefoniczne#

Boty głosowe używają zaawansowanych technik inżynierii społecznej, aby zwieść ofiary i ujawnić ich OTP (jednorazowe hasła). Boty te wyposażone są w predefiniowane skrypty językowe i możliwości dostosowywania głosu, co pozwala im naśladować prawdziwe centra obsługi telefonicznej. Podszywając się pod zaufane podmioty, manipulują ofiarami, aby ujawnić poufne kody przez telefon. Oto jak to działa:

1. Bot nawiązuje połączenie: Bot kontaktuje się z ofiarą, udając przedstawiciela jej banku lub dostawcy usług. Informuje ofiarę o „podejrzanych działaniach” wykrytych na jej koncie, tworząc poczucie pilności i strachu.
2. Prośba o weryfikację tożsamości: Bot prosi ofiarę o „weryfikację tożsamości” w celu zabezpieczenia konta. Odbywa się to poprzez prośbę o wprowadzenie OTP (wysłanego przez rzeczywistego dostawcę usług) przez telefon.
3. Natychmiastowe naruszenie konta: Gdy ofiara poda OTP, atakujący używa go w ciągu kilku sekund, aby uzyskać dostęp do konta ofiary, często kradnąc pieniądze lub wrażliwe dane.

Platforma Telegram jest często używana przez cyberprzestępców do tworzenia i zarządzania botami lub jako kanał wsparcia klienta dla ich operacji. Jednym z takich przykładów jest BloodOTPbot, bot oparty na wiadomościach SMS, zdolny do generowania automatycznych połączeń naśladujących wsparcie klienta banku.

Ataki SS7#

SS7 (System Sygnalizacji 7) to protokół telekomunikacyjny kluczowy dla kierowania połączeniami, SMS-ami i roamingiem. Jednak posiada on podatności, które hakerzy mogą wykorzystać do przechwytywania SMS-ów, w tym jednorazowych haseł (OTP), i omijania uwierzytelniania dwuskładnikowego (2FA). Choć te ataki są skomplikowane, były wykorzystywane w poważnych cyberprzestępstwach do kradzieży danych i pieniędzy. To podkreśla potrzebę zastąpienia OTP opartego na SMS-ach bardziej bezpiecznymi opcjami, takimi jak aplikacje uwierzytelniające lub tokeny sprzętowe.

Jak powstrzymać ataki botów OTP?#

Ataki botów OTP stają się coraz bardziej skuteczne i powszechne. Rosnąca wartość kont online, w tym kont finansowych, portfeli kryptowalutowych i profili mediów społecznościowych, czyni je atrakcyjnymi celami dla cyberprzestępców. Ponadto automatyzacja ataków za pomocą narzędzi takich jak boty oparte na Telegramie uczyniła te zagrożenia bardziej dostępnymi, nawet dla niedoświadczonych hakerów. Wreszcie wiele osób ślepo ufa systemom MFA, często nie doceniając, jak łatwo można wykorzystać OTP.

Dlatego ochrona Twojej organizacji przed botami OTP wymaga wzmocnienia bezpieczeństwa w kilku kluczowych obszarach.

Wzmocnij bezpieczeństwo podstawowego uwierzytelniania#

Uzyskanie dostępu do konta użytkownika wymaga pokonania wielu warstw ochrony, co sprawia, że pierwsza warstwa uwierzytelniania jest kluczowa. Jak wspomniano wcześniej, same hasła są wysoce podatne na ataki botów OTP.

• Wykorzystaj login społecznościowy lub SSO dla przedsiębiorstw: Wykorzystaj zabezpieczonych dostawców tożsamości stron trzecich (IdP) dla podstawowego uwierzytelniania, takich jak Google, Microsoft, Apple dla logowania społecznego lub Okta, Google Workspace i Microsoft Entra ID dla SSO. Te metody bezhasłowe oferują bezpieczniejszą alternatywę dla haseł, które łatwo mogą zostać wykorzystane przez atakujących.
• Zaimplementuj narzędzia CAPTCHA i detekcji botów: Zabezpiecz swój system, wdrażając rozwiązania detekcji botów, aby zablokować próby automatycznego dostępu.
• Wzmocnij zarządzanie hasłami: Jeśli hasła nadal są używane, wymuszaj surowsze zasady haseł, zachęcaj użytkowników do korzystania z menedżerów haseł (np. Google Password Manager lub iCloud Passwords) oraz wymagaj okresowych aktualizacji haseł dla zwiększenia bezpieczeństwa.

Zastosuj inteligentniejsze uwierzytelnianie wieloskładnikowe#

Gdy pierwsza linia obrony zostaje złamana, druga warstwa weryfikacji staje się kluczowa.

• Zamień na uwierzytelnianie oparte na sprzęcie: Zastąp SMS OTP kluczami bezpieczeństwa (jak YubiKey) lub passkeys zgodnymi ze standardem FIDO2. Te wymagają fizycznego posiadania, które są odporne na phishing, przejęcie SIM i ataki man-in-the-middle, oferując znacznie silniejszą warstwę bezpieczeństwa.
• Zaimplementuj adaptacyjne MFA: Adaptacyjne MFA ciągle analizuje czynniki kontekstowe takie jak lokalizacja użytkownika, urządzenie, zachowanie sieciowe i wzorce logowania. Na przykład, jeśli próba logowania jest dokonywana z niezrozpoznanego urządzenia lub nietypowej lokalizacji geograficznej, system może automatycznie zażądać dodatkowych kroków, takich jak odpowiedź na pytanie kontrolne lub weryfikacja tożsamości za pomocą uwierzytelniania biometrycznego.

Edukacja użytkowników#

Ludzie nadal są najsłabszym ogniwem, więc priorytetem powinna być edukacja.

• Używaj jasnych oznaczeń i adresów URL, aby zminimalizować ryzyko phishingu.
• Szkol użytkowników i pracowników w rozpoznawaniu prób phishingu i złośliwych aplikacji. Regularnie przypominaj użytkownikom, aby unikali udostępniania OTP przez połączenia głosowe lub strony phishingowe, niezależnie od tego, jak przekonujące mogą się wydawać.
• Gdy zostanie wykryta nieprawidłowa aktywność konta, natychmiast powiadom administratorów lub programowo zakończ operację. Dzienniki audytu i webhooki mogą pomóc w tym procesie.

Przemyśl uwierzytelnianie za pomocą dedykowanych narzędzi#

Wdrożenie wewnętrznego systemu zarządzania tożsamościami jest kosztowne i zasobożerne. Zamiast tego przedsiębiorstwa mogą skuteczniej chronić konta użytkowników, współpracując z profesjonalnymi usługami uwierzytelniającymi.

Rozwiązania takie jak Logto oferują potężne połączenie elastyczności i solidnego bezpieczeństwa. Dzięki adaptacyjnym funkcjom i łatwym do zintegrowania opcjom, Logto pomaga organizacjom wyprzedzić rozwijające się zagrożenia bezpieczeństwa, takie jak boty OTP. Jest to również kosztowo efektywny wybór dla zwiększania bezpieczeństwa wraz z rozwojem Twojego biznesu.

Odkryj pełen zakres możliwości Logto, w tym Logto Cloud i Logto OSS, odwiedzając stronę Logto: