Bots OTP: O que são e como evitar ataques

Com a crescente dependência de serviços online, a autenticação multifator (MFA) tornou-se uma linha de defesa crítica contra ciberataques. Entre os elementos mais amplamente utilizados na MFA está a senha descartável (OTP), um código temporário e único destinado a proteger contas contra acessos não autorizados. No entanto, as OTPs já não são infalíveis como outrora pareciam. Uma nova onda de atividade criminosa cibernética envolvendo bots OTP está desafiando sua eficácia e representando uma séria ameaça tanto para empresas quanto para indivíduos.

Compreender como funcionam os bots OTP, seus métodos de ataque e estratégias para se defender contra eles é essencial. Este guia irá dissecar a mecânica por trás dos bots OTP e fornecer etapas acionáveis para a sua organização reforçar a segurança.

O que é uma OTP?#

Um código descartável (OTP) é um código único e sensível ao tempo usado para autenticação de único uso. Gerados por algoritmos baseados em sincronização de tempo ou em cálculos criptográficos, as OTPs oferecem uma camada adicional de segurança para sistemas de autenticação multifator (MFA) ou entradas.

As OTPs podem ser entregues de várias formas:

• Códigos SMS: Enviados através de mensagem de texto ou mensagem de voz.
• Códigos de email: Enviados diretamente para a caixa de entrada do usuário.
• Aplicativos autenticadores: Gerados localmente através de serviços como Google Authenticator ou Microsoft Authenticator.

Sua natureza de curta duração aumenta a segurança, com códigos gerados por aplicativos normalmente expirando em 30 a 60 segundos, enquanto códigos SMS ou de email duram 5 a 10 minutos. Essa funcionalidade dinâmica torna as OTPs muito mais seguras do que senhas estáticas.

No entanto, uma vulnerabilidade chave reside na sua entrega, pois os atacantes podem explorar fraquezas do sistema ou erro humano para interceptá-las. Apesar desse risco, as OTPs continuam a ser uma ferramenta confiável e eficaz para reforçar a segurança online.

Qual é o papel das OTPs na MFA?#

Compreender a Autenticação Multifator (MFA) é crucial no cenário digital de hoje. A MFA fortalece a segurança ao exigir que os usuários verifiquem sua identidade através de múltiplos fatores, adicionando uma camada extra de proteção para evitar acessos não autorizados.

Um processo típico de MFA envolve os seguintes passos:

1. Identificador do usuário: É como o sistema reconhece os usuários. Pode ser um nome de usuário, endereço de email, número de telefone, ID de usuário, ID de funcionário, número do cartão de banco ou até mesmo uma identidade social.
2. Primeiro fator de autenticação: Mais comumente, é uma senha, mas pode também ser um OTP de email ou OTP de SMS.
3. Segundo fator de autenticação: Esta etapa utiliza um método diferente do primeiro, como OTPs de SMS, OTPs de aplicativo autenticador, chaves de segurança físicas ou biometria como impressões digitais e reconhecimento facial.
4. Camada opcional de autenticação terceira: Em alguns casos, é adicionada uma camada adicional. Por exemplo, ao fazer login em uma conta Apple em um novo dispositivo pode ser necessário uma verificação extra.

Este processo em várias camadas melhora significativamente a segurança, pois os atacantes precisariam contornar cada camada para obter acesso a uma conta.

A MFA geralmente se baseia em três categorias de fatores de autenticação:

Ao combinar esses métodos, a MFA cria uma defesa robusta contra acessos não autorizados. Garante que, mesmo que uma camada seja comprometida, a segurança geral da conta permaneça intacta, proporcionando aos usuários proteção aprimorada em um mundo cada vez mais conectado.

O que são bots OTP?#

Os bots OTP são ferramentas automatizadas especificamente projetadas para roubar senhas descartáveis (OTPs). Diferentemente dos ataques de força bruta, esses bots se baseiam em engano e manipulação, explorando erros humanos, táticas de engenharia social ou vulnerabilidades do sistema para contornar protocolos de segurança.

Tomando como exemplo o processo comum de verificação de "Email (como identificador) + Senha (como primeira etapa de verificação) + OTP de Software/SMS (como segunda etapa de verificação)", o ataque normalmente se desenrola nos seguintes passos:

1. O atacante acessa a página de login ou API do aplicativo, assim como um usuário regular.
2. O atacante insere as credenciais fixas da vítima, como seu endereço de email e senha. Essas credenciais são frequentemente obtidas a partir de bancos de dados de informações de usuários vazadas prontamente disponíveis para compra online. Muitos usuários tendem a reutilizar senhas em diferentes plataformas, tornando-os mais vulneráveis. Além disso, técnicas de phishing são frequentemente usadas para enganar os usuários para que revelem seus detalhes de conta.
3. Usando um bot OTP, o atacante intercepta ou recupera a senha descartável da vítima. Dentro do período de validade, eles contornam o processo de verificação em duas etapas.
4. Uma vez que o atacante ganha acesso à conta, eles podem prosseguir para transferir ativos ou informações sensíveis. Para atrasar a descoberta da violação pela vítima, os atacantes frequentemente tomam medidas como excluir alertas de notificação ou outros sinais de aviso.

Agora, vamos explorar com mais detalhes como os bots OTP são implementados e os mecanismos que os permitem explorar essas vulnerabilidades.

Como os bots OTP funcionam?#

Abaixo estão algumas das técnicas mais comuns empregadas pelos bots OTP, delineadas juntamente com exemplos do mundo real.

Bots de phishing#

O phishing é um dos métodos mais comuns usados pelos bots OTP. Veja como funciona:

1. O isco (mensagem fraudulenta): A vítima recebe um email ou mensagem de texto falso fingindo ser de uma fonte confiável, como seu banco, plataforma de mídia social ou um serviço online popular. A mensagem geralmente afirma que há um problema urgente, como uma tentativa de login suspeita, problema de pagamento ou suspensão de conta, pressionando a vítima a tomar uma ação imediata.

2. A página de login falsa: A mensagem inclui um link que direciona a vítima para uma página de login falsa projetada para parecer exatamente como o site oficial. Esta página é configurada por atacantes para capturar as credenciais de login da vítima.

3. Credenciais roubadas e MFA acionada: Quando a vítima insere seu nome de usuário e senha na página falsa, o bot de phishing rapidamente usa essas credenciais roubadas para fazer login no serviço real. Esta tentativa de login então aciona uma solicitação de autenticação multifator (MFA), como uma senha descartável (OTP) enviada para o telefone da vítima.

4. Enganando a vítima pelo OTP: O bot de phishing engana a vítima para fornecer o OTP exibindo um prompt na página falsa (por exemplo, "Por favor, insira o código enviado ao seu telefone para verificação"). Pensando que é um processo legítimo, a vítima insere o OTP, sem saber que está dando ao atacante tudo o que ele precisa para concluir o login no serviço real.

Por exemplo, no Reino Unido, ferramentas como "SMS Bandits" foram usadas para realizar ataques de phishing sofisticados via mensagens de texto. Essas mensagens imitam comunicações oficiais, enganando as vítimas a divulgarem suas credenciais de conta. Uma vez que as credenciais são comprometidas, os SMS Bandits permitem que criminosos contornem a autenticação multifator (MFA) iniciando o roubo de OTP. Alarmantemente, esses bots alcançam uma taxa de sucesso de aproximadamente 80% uma vez que o número de telefone de um alvo é inserido, destacando a eficácia perigosa de tais esquemas de phishing.

Bots de malware#

Bots OTP baseados em malware são uma ameaça séria, visando diretamente dispositivos para interceptar OTPs baseados em SMS. Veja como funciona:

1. Vítimas baixam aplicativos maliciosos sem saber: Atacantes criam aplicativos que parecem ser software legítimo, como ferramentas bancárias ou de produtividade. As vítimas frequentemente instalam esses aplicativos falsos através de anúncios enganosos, lojas de aplicativos não oficiais ou links de phishing enviados por email ou SMS.
2. Malware ganha acesso a permissões sensíveis: Uma vez instalado, o aplicativo solicita permissões para acessar SMS, notificações ou outros dados sensíveis no dispositivo da vítima. Muitos usuários, inconscientes do risco, concedem essas permissões sem perceber a verdadeira intenção do aplicativo.
3. Malware monitora e rouba OTPs: O malware funciona silenciosamente em segundo plano, monitorando mensagens SMS recebidas. Quando um OTP é recebido, o malware o encaminha automaticamente para os atacantes, dando-lhes a capacidade de contornar a autenticação de dois fatores.

Um relatório revelou uma campanha usando aplicativos Android maliciosos para roubar mensagens SMS, incluindo OTPs, afetando 113 países, com Índia e Rússia sendo os mais atingidos. Foram encontrados 107.000 amostras de malware. Telefones infectados podem, sem saber, ser usados para registrar contas e capturar OTPs de 2FA, representando sérios riscos de segurança.

Troca de SIM#

Por meio da troca de SIM, um atacante toma controle do número de telefone da vítima enganando os provedores de telecomunicações. Como funciona:

1. Impersonation: O atacante coleta informações pessoais sobre a vítima (como nome, data de nascimento ou detalhes da conta) por meio de phishing, engenharia social ou violações de dados.
2. Contato com o Provedor: Usando essas informações, o atacante liga para o provedor de telecomunicações da vítima, fingindo ser a vítima, e solicita uma substituição do cartão SIM.
3. Aprovação da Transferência: O provedor é enganado a transferir o número da vítima para um novo cartão SIM controlado pelo atacante.
4. Interception: Uma vez que a transferência esteja concluída, o atacante ganha acesso a chamadas, mensagens e OTPs baseados em SMS, permitindo-lhes contornar medidas de segurança para contas bancárias, email e outros serviços sensíveis.

Ataques de troca de SIM estão em ascensão, causando danos financeiros significativos. Somente em 2023, o FBI investigou 1.075 incidentes de troca de SIM, resultando em perdas de $48 milhões.

Bots de chamada de voz#

Bots de voz usam técnicas de engenharia social avançadas para enganar as vítimas a revelarem seus OTPs (senhas descartáveis). Esses bots estão equipados com scripts de linguagem predefinidos e opções de voz personalizáveis, permitindo que eles se passem por centrais de atendimento legítimas. Fingindo ser entidades confiáveis, eles manipulam as vítimas a divulgar códigos sensíveis por telefone. Como funciona:

1. O bot faz a ligação: O bot contata a vítima, fingindo ser do banco dela ou de um provedor de serviços. Informa a vítima de "atividade suspeita" detectada em sua conta para criar urgência e medo.
2. Requisição de verificação de identidade: O bot pede à vítima para "verificar sua identidade" a fim de proteger sua conta. Isto é feito solicitando à vítima que insira seu OTP (enviado pelo provedor de serviços real) pelo telefone.
3. Violação imediata de conta: Uma vez que a vítima fornece o OTP, o atacante o usa em questão de segundos para obter acesso à conta da vítima, frequentemente roubando dinheiro ou dados sensíveis.

A plataforma Telegram é frequentemente utilizada por criminosos cibernéticos para criar e gerenciar bots ou para funcionar como um canal de suporte ao cliente para suas operações. Um exemplo é o BloodOTPbot, um bot baseado em SMS capaz de gerar chamadas automatizadas que imitam o suporte ao cliente de um banco.

Ataques SS7#

SS7 (Sistema de Sinalização 7) é um protocolo de telecomunicações crucial para roteamento de chamadas, SMS e roaming. No entanto, possui vulnerabilidades que os hackers podem explorar para interceptar SMS, incluindo senhas descartáveis (OTPs), e contornar a autenticação de dois fatores (2FA). Esses ataques, embora complexos, têm sido usados em grandes crimes cibernéticos para roubar dados e dinheiro. Isso destaca a necessidade de substituir OTPs baseados em SMS por opções mais seguras, como autenticadores baseados em aplicativo ou tokens de hardware.

Como parar ataques de bots OTP?#

Ataques de bots OTP estão se tornando cada vez mais eficazes e disseminados. O crescente valor das contas online, incluindo contas financeiras, carteiras de criptomoedas e perfis de mídia social, torna-as alvos lucrativos para cibercriminosos. Além disso, a automação de ataques através de ferramentas como bots baseados no Telegram tornou essas ameaças mais acessíveis, até mesmo para hackers amadores. Finalmente, muitos usuários confiam cegamente em sistemas de MFA, muitas vezes subestimando a facilidade com que OTPs podem ser exploradas.

Portanto, proteger sua organização contra bots OTP requer o fortalecimento da segurança em várias áreas-chave.

Fortalecer a segurança da autenticação primária#

Obter acesso a uma conta de usuário requer superar várias camadas de proteção, o que torna a primeira camada de autenticação crítica. Como mencionado anteriormente, senhas sozinhas são altamente vulneráveis a ataques de bots OTP.

• Aproveitar login social ou SSO empresarial: Use provedores de identidade de terceiros seguros (IdPs) para autenticação primária, como Google, Microsoft, Apple para login social, ou Okta, Google Workspace e Microsoft Entra ID para SSO. Esses métodos sem senha oferecem uma alternativa mais segura às senhas que os atacantes podem facilmente explorar.
• Implementar CAPTCHA e ferramentas de detecção de bots: Proteja seu sistema implantando soluções de detecção de bots para bloquear tentativas de acesso automatizadas.
• Fortalecer a gestão de senhas: Se as senhas continuarem sendo usadas, imponha políticas de senhas mais rigorosas, incentive os usuários a adotarem gerenciadores de senhas (por exemplo, Google Password Manager ou iCloud Passwords) e exija atualizações periódicas de senha para maior segurança.

Aplicar autenticação multifator mais inteligente#

Quando a primeira linha de defesa é violada, a segunda camada de verificação se torna crítica.

• Mudar para autenticação baseada em hardware: Substitua OTPs de SMS por chaves de segurança (como YubiKey) ou passkeys seguindo o padrão FIDO2. Estes requerem posse física, sendo resistentes a phishing, troca de SIM e ataques de intermediário, oferecendo uma camada de segurança muito mais forte.
• Implementar MFA adaptativa: A MFA adaptativa analisa continuamente fatores contextuais, como localização do usuário, dispositivo, comportamento de rede e padrões de login. Por exemplo, se uma tentativa de login for feita a partir de um dispositivo não reconhecido ou de uma localização geográfica incomum, o sistema pode solicitar automaticamente etapas adicionais, como responder a uma pergunta de segurança ou verificar a identidade através de autenticação biométrica.

Educação do usuário#

Os humanos continuam a ser o elo mais fraco, por isso, faça da educação uma prioridade máxima.

• Use URLs e marcas claras para minimizar o risco de phishing.
• Treine usuários e funcionários para reconhecer tentativas de phishing e aplicativos maliciosos. Lembre os usuários regularmente de não compartilhar OTPs em chamadas de voz ou páginas de phishing, por mais convincentes que possam parecer.
• Quando atividade anormal de conta for detectada, notifique prontamente os administradores ou encerre programaticamente a operação. Logs de auditoria e webhooks podem ajudar esse processo a funcionar.

Repensar a autenticação com ferramentas dedicadas#

Implementar um sistema de gestão de identidade interno é dispendioso e consome muitos recursos. Em vez disso, as empresas podem proteger as contas dos usuários de maneira mais eficiente ao se associarem a serviços de autenticação profissionais.

Soluções como o Logto oferecem uma combinação poderosa de flexibilidade e segurança robusta. Com recursos adaptativos e opções fáceis de integrar, o Logto ajuda as organizações a ficarem à frente de ameaças de segurança em evolução, como os bots OTP. Também é uma escolha eficaz em termos de custo para escalar a segurança à medida que seu negócio cresce.

Descubra toda a gama de capacidades do Logto, incluindo Logto Cloud e Logto OSS, visitando o site do Logto: