Bots de OTP: O que são e como prevenir ataques

Com a crescente dependência dos serviços online, a autenticação multifator (MFA) tornou-se uma linha de defesa crítica contra ciberataques. Entre os elementos de MFA mais amplamente utilizados está a senha de uso único (OTP), um código temporário e único destinado a proteger contas contra acesso não autorizado. No entanto, as OTPs não são mais tão infalíveis quanto pareciam ser. Uma nova onda de atividades cibercriminosas envolvendo bots de OTP está desafiando sua eficácia e representando uma séria ameaça para empresas e indivíduos.

Entender como os bots de OTP funcionam, seus métodos de ataque e estratégias para se defender contra eles é essencial. Este guia desconstruirá a mecânica por trás dos bots de OTP e fornecerá passos práticos que sua organização pode tomar para reforçar a segurança.

O que é uma OTP?#

Uma senha de uso único (OTP) é um código único e sensível ao tempo utilizado para autenticação de uso único. Gerado através de algoritmos baseados em sincronização de tempo ou cálculos criptográficos, as OTPs fornecem uma camada adicional de segurança para logins ou sistemas de autenticação multifator (MFA).

As OTPs podem ser entregues de várias maneiras:

• Códigos via SMS: Enviados por mensagem de texto ou de voz.
• Códigos por e-mail: Enviados diretamente para a caixa de entrada do usuário.
• Aplicativos autenticadores: Gerados localmente através de serviços como Google Authenticator ou Microsoft Authenticator.

Sua natureza de curta duração aumenta a segurança, com códigos gerados por aplicativos tipicamente expirando em 30 a 60 segundos, enquanto códigos por SMS ou e-mail duram de 5 a 10 minutos. Esta funcionalidade dinâmica torna as OTPs muito mais seguras do que senhas estáticas.

No entanto, uma vulnerabilidade chave reside na sua entrega, pois atacantes podem explorar fragilidades do sistema ou erro humano para interceptá-las. Apesar deste risco, as OTPs continuam sendo uma ferramenta confiável e eficaz para reforçar a segurança online.

Qual é o papel das OTPs na MFA?#

Compreender a Autenticação Multifator (MFA) é crucial no cenário digital de hoje. A MFA reforça a segurança solicitando que os usuários verifiquem sua identidade através de múltiplos fatores, adicionando uma camada extra de proteção para prevenir acesso não autorizado.

Um processo típico de MFA envolve as seguintes etapas:

1. Identificador do usuário: Esta é a forma como o sistema reconhece os usuários. Pode ser um nome de usuário, endereço de e-mail, número de telefone, ID do usuário, ID de funcionário, número de cartão bancário ou até mesmo uma identidade social.
2. Primeiro fator de autenticação: Mais comumente, é uma senha, mas também pode ser uma OTP de e-mail ou OTP de SMS.
3. Segundo fator de autenticação: Esta etapa utiliza um método diferente do primeiro, como OTPs de SMS, OTPs de aplicativo autenticador, chaves de segurança físicas ou biometria como impressões digitais e reconhecimento facial.
4. Camada opcional de autenticação terciária: Em alguns casos, uma camada adicional é adicionada. Por exemplo, fazer login em uma conta Apple em um novo dispositivo pode exigir verificação extra.

Este processo multilayer melhora significativamente a segurança, pois os atacantes teriam que contornar cada camada para acessar uma conta.

A MFA tipicamente se baseia em três categorias de fatores de autenticação:

Ao combinar esses métodos, a MFA cria uma defesa robusta contra acesso não autorizado. Ela garante que, mesmo se uma camada for comprometida, a segurança geral da conta permaneça intacta, proporcionando aos usuários uma proteção aprimorada em um mundo cada vez mais conectado.

O que são bots de OTP?#

Bots de OTP são ferramentas automatizadas especificamente projetadas para roubar senhas de uso único (OTPs). Ao contrário dos ataques de força bruta, esses bots se baseiam em engano e manipulação, explorando erros humanos, táticas de engenharia social ou vulnerabilidades do sistema para contornar protocolos de segurança.

Tomando o processo comum de verificação de "E-mail (como um identificador) + Senha (como a primeira etapa de verificação) + OTP de Software/SMS (como a segunda etapa de verificação)" como exemplo, o ataque geralmente se desenrola nas seguintes etapas:

1. O atacante acessa a página de login ou API do aplicativo, assim como um usuário regular.
2. O atacante insere as credenciais fixas da vítima, como endereço de e-mail e senha. Essas credenciais são frequentemente obtidas de bancos de dados de informações de usuário vazadas, facilmente disponíveis para compra online. Muitos usuários tendem a reutilizar senhas em diferentes plataformas, tornando-os mais vulneráveis. Além disso, técnicas de phishing são frequentemente usadas para enganar os usuários a revelarem seus dados de conta.
3. Usando um bot de OTP, o atacante intercepta ou recupera a senha de uso único da vítima. Dentro do tempo de validade, eles contornam o processo de verificação em duas etapas.
4. Uma vez que o atacante obtém acesso à conta, pode proceder para transferir ativos ou informações sensíveis. Para atrasar a descoberta da violação pela vítima, os atacantes frequentemente tomam medidas como deletar alertas de notificação ou outros sinais de aviso.

Agora, vamos explorar em maior detalhe como os bots de OTP são implementados e os mecanismos que possibilitam a exploração dessas vulnerabilidades.

Como os bots de OTP funcionam?#

Abaixo estão algumas das técnicas mais comuns empregadas por bots de OTP, delineadas juntamente com exemplos do mundo real.

Bots de phishing#

Phishing é um dos métodos mais comuns utilizados por bots de OTP. Veja como funciona:

1. A isca (mensagem fraudulenta): A vítima recebe um e-mail ou mensagem de texto falsos, fingindo ser de uma fonte confiável, como seu banco, plataforma de mídia social ou um serviço online popular. A mensagem geralmente afirma que há um problema urgente, como uma tentativa de login suspeita, problema de pagamento ou suspensão de conta, pressionando a vítima a tomar uma ação imediata.

2. A página de login falsa: A mensagem inclui um link que direciona a vítima para uma página de login falsa projetada para parecer exatamente com o site oficial. Esta página é configurada por atacantes para capturar as credenciais de login da vítima.

3. Credenciais roubadas e MFA acionada: Quando a vítima insere seu nome de usuário e senha na página falsa, o bot de phishing rapidamente usa essas credenciais roubadas para fazer login no serviço real. Esta tentativa de login então aciona uma solicitação de autenticação multifator (MFA), como uma senha de uso único (OTP) enviada para o telefone da vítima.

4. Enganando a vítima para obter o OTP: O bot de phishing engana a vítima para fornecer o OTP, exibindo um prompt na página falsa (por exemplo, “Por favor, insira o código enviado para seu telefone para verificação”). Pensando que é um processo legítimo, a vítima insere o OTP, inadvertidamente dando ao atacante tudo o que precisa para completar o login no serviço real.

Por exemplo, no Reino Unido, ferramentas como "SMS Bandits" têm sido usadas para executar ataques de phishing sofisticados via mensagens de texto. Essas mensagens imitam comunicações oficiais, enganando as vítimas para que divulguem suas credenciais de conta. Uma vez que as credenciais são comprometidas, o SMS Bandits permite que criminosos contornem a autenticação multifator (MFA) iniciando o roubo de OTP. Alarmantemente, esses bots atingem uma taxa de sucesso de aproximadamente 80% quando o número de telefone de um alvo é inserido, destacando a perigosa eficácia de tais esquemas de phishing. Saiba mais

Bots de malware#

Bots de OTP baseados em malware são uma ameaça séria, direcionando diretamente dispositivos para interceptar OTPs baseados em SMS. Veja como funciona:

1. Vítimas baixam aplicativos maliciosos sem saber: Atacantes criam aplicativos que se parecem com software legítimo, como ferramentas bancárias ou de produtividade. As vítimas frequentemente instalam esses aplicativos falsos através de anúncios enganosos, lojas de aplicativos não oficiais ou links de phishing enviados por e-mail ou SMS.
2. Malware obtém acesso a permissões sensíveis: Uma vez instalado, o aplicativo solicita permissões para acessar SMS, notificações, ou outros dados sensíveis no dispositivo da vítima. Muitos usuários, sem entender o risco, concedem essas permissões sem perceber a verdadeira intenção do aplicativo.
3. Malware monitora e rouba OTPs: O malware executa-se silenciosamente em segundo plano, monitorando mensagens SMS recebidas. Quando um OTP é recebido, o malware o encaminha automaticamente para os atacantes, dando-lhes a capacidade de contornar a autenticação de dois fatores.

Um relatório revelou uma campanha usando aplicativos Android maliciosos para roubar mensagens SMS, incluindo OTPs, afetando 113 países, com a Índia e a Rússia sendo os mais atingidos. Foram encontradas mais de 107.000 amostras de malware. Telefones infectados podem ser usados sem saber para registrar contas e coletar OTPs de 2FA, representando sérios riscos de segurança. Saiba mais

Clonagem de SIM#

Através da clonagem de SIM, um atacante assume o controle do número de telefone de uma vítima enganando provedores de telecomunicações. Como funciona:

1. Impersonação: O atacante coleta informações pessoais sobre a vítima (como nome, data de nascimento, ou detalhes de conta) através de phishing, engenharia social ou violações de dados.
2. Contatando o fornecedor: Usando essas informações, o atacante liga para o provedor de telecomunicações da vítima, fingindo ser a vítima, e solicita uma substituição do cartão SIM.
3. Aprovação da transferência: O provedor é enganado a transferir o número da vítima para um novo cartão SIM controlado pelo atacante.
4. Intercepção: Uma vez que a transferência é concluída, o atacante ganha acesso a chamadas, mensagens e senhas de uso único baseadas em SMS (OTPs), permitindo que contornem medidas de segurança para contas bancárias, e-mails e outros serviços sensíveis.

Ataques de troca de SIM estão em ascensão, causando danos financeiros significativos. Em 2023, o FBI investigou 1.075 incidentes de troca de SIM, resultando em perdas de $ 48 milhões. Saiba mais

Bots de chamada de voz#

Bots de voz usam técnicas avançadas de engenharia social para enganar vítimas a revelarem suas OTPs (senhas de uso único). Esses bots são equipados com scripts de linguagem pré-definidos e opções de voz personalizáveis, permitindo que imitem centrais de atendimento legítimas. Fingindo ser entidades confiáveis, eles manipulam as vítimas a divulgar códigos sensíveis por telefone. Como funciona:

1. O bot faz a chamada: O bot entra em contato com a vítima, fingindo ser do banco dela ou de um provedor de serviços. Ele informa a vítima de "atividade suspeita" detectada em sua conta para criar urgência e medo.
2. Solicitação de verificação de identidade: O bot pede à vítima para "verificar sua identidade" para proteger sua conta. Isso é feito solicitando que a vítima insira seu OTP (enviado pelo provedor de serviços real) por telefone.
3. Violação imediata da conta: Uma vez que a vítima fornece o OTP, o atacante o usa dentro de segundos para obter acesso à conta da vítima, frequentemente roubando dinheiro ou dados sensíveis.

A plataforma Telegram é frequentemente utilizada por cibercriminosos, seja para criar e gerenciar bots, seja para funcionar como um canal de suporte ao cliente para suas operações. Um exemplo disso é o BloodOTPbot, um bot baseado em SMS capaz de gerar chamadas automatizadas que imitam o suporte ao cliente de um banco.

Ataques SS7#

SS7 (Signaling System 7) é um protocolo de telecomunicações crucial para rotear chamadas, SMS e roaming. No entanto, ele possui vulnerabilidades que hackers podem explorar para interceptar SMS, incluindo senhas de uso único (OTPs), e contornar a autenticação de dois fatores (2FA). Esses ataques, embora complexos, foram utilizados em grandes cibercrimes para roubar dados e dinheiro. Isso destaca a necessidade de substituir OTPs baseadas em SMS por opções mais seguras, como autenticadores baseados em aplicativos ou tokens de hardware.

Como parar ataques de bot de OTP?#

Ataques de bot de OTP estão se tornando cada vez mais eficazes e disseminados. O valor crescente de contas online, incluindo contas financeiras, carteiras de criptomoedas e perfis em redes sociais, as tornam alvos lucrativos para cibercriminosos. Além disso, a automação de ataques por meio de ferramentas como bots baseados no Telegram tornou essas ameaças mais acessíveis, até mesmo para hackers amadores. Finalmente, muitos usuários confiam cegamente em sistemas de MFA, frequentemente subestimando o quão facilmente as OTPs podem ser exploradas.

Assim, proteger sua organização de bots de OTP requer o fortalecimento da segurança em várias áreas-chave.

Fortaleça a segurança da autenticação primária#

Obter acesso a uma conta de usuário requer superar múltiplas camadas de proteção, o que torna a primeira camada de autenticação crítica. Conforme mencionado anteriormente, senhas sozinhas são altamente vulneráveis a ataques de bot de OTP.

• Utilize login social ou SSO empresarial: Use provedores de identidade (IdPs) de terceiros seguros para autenticação primária, como Google, Microsoft, Apple para login social, ou Okta, Google Workspace e Microsoft Entra ID para SSO. Esses métodos sem senha oferecem uma alternativa mais segura a senhas que os atacantes podem facilmente explorar.
• Implemente CAPTCHA e ferramentas de detecção de bots: Proteja seu sistema implantando soluções de detecção de bots para bloquear tentativas de acesso automatizadas.
• Fortaleça o gerenciamento de senhas: Se as senhas permanecerem em uso, implemente políticas de senha mais rigorosas, incentive os usuários a adotarem gerenciadores de senha (por exemplo, Google Password Manager ou iCloud Passwords) e exija atualizações periódicas de senha para aumentar a segurança.

Aplique uma autenticação multifator mais inteligente#

Quando a primeira linha de defesa é violada, a segunda camada de verificação se torna crítica.

• Mude para autenticação baseada em hardware: Substitua OTPs de SMS por chaves de segurança (como YubiKey) ou passkeys seguindo o padrão FIDO2. Essas requerem posse física, que são resistentes a phishing, troca de SIM e ataques man-in-the-middle, oferecendo uma camada de segurança muito mais forte.
• Implemente MFA adaptativa: MFA adaptativa analisa continuamente fatores contextuais, como localização do usuário, dispositivo, comportamento da rede e padrões de login. Por exemplo, se uma tentativa de login for feita de um dispositivo não reconhecido ou uma localização geográfica incomum, o sistema pode solicitar automaticamente etapas adicionais, como responder a uma pergunta de segurança ou verificar a identidade através de autenticação biométrica.

Educação do usuário#

Os humanos continuam sendo o elo mais fraco, então faça da educação uma prioridade.

• Use branding e URLs claros para minimizar os riscos de phishing.
• Treine usuários e funcionários a reconhecer tentativas de phishing e aplicativos maliciosos. Lembre regularmente os usuários de evitar compartilhar OTPs por chamadas de voz ou páginas de phishing, por mais convincentes que possam parecer.
• Quando uma atividade de conta anormal for detectada, notifique prontamente os administradores ou encerre programaticamente a operação. Registros de auditoria e webhooks podem ajudar esse processo a funcionar.

Repense a autenticação com ferramentas dedicadas#

Implementar um sistema de gerenciamento de identidade interno é caro e intensivo em recursos. Em vez disso, as empresas podem proteger contas de usuário de forma mais eficiente ao fazer parceria com serviços de autenticação profissionais.

Soluções como Logto oferecem uma poderosa combinação de flexibilidade e segurança robusta. Com recursos adaptativos e opções fáceis de integrar, o Logto ajuda as organizações a se manterem à frente de ameaças de segurança em evolução, como bots de OTP. Também é uma escolha custo-efetiva para aumentar a segurança à medida que seu negócio cresce.

Descubra toda a gama de capacidades do Logto, incluindo Logto Cloud e Logto OSS, visitando o site do Logto: