OTP-боты: Что это такое и как предотвратить атаки

С увеличением зависимости от онлайн-сервисов многофакторная аутентификация (MFA) стала критически важной линией защиты от кибератак. Одним из наиболее широко используемых элементов MFA является одноразовый пароль (OTP), временный уникальный код, предназначенный для защиты аккаунтов от несанкционированного доступа. Однако, OTP больше не такие надежные, как казалось раньше. Новая волна киберпреступной деятельности, связанная с OTP-ботами, бросает вызов их эффективности и представляет серьезную угрозу для бизнеса и физических лиц.

Понимание того, как работают OTP-боты, их методы атак и стратегии защиты от них, является важной задачей. Это руководство раскроет механику за OTP-ботами и предоставит конкретные шаги, которые ваша организация может предпринять для усиления безопасности.

Что такое OTP?#

Одноразовый пароль (OTP) — это уникальный, чувствительный ко времени код, используемый для одноразовой аутентификации. Генерируемый с помощью алгоритмов на основе синхронизации времени или криптографических вычислений, OTP обеспечивает дополнительный уровень безопасности для входа в систему или многофакторных аутентификационных (MFA) систем.

OTP могут доставляться несколькими способами:

• Коды по SMS: Отправлены через текстовое или голосовое сообщение.
• Коды по электронной почте: Отправлены непосредственно в почтовый ящик пользователя.
• Приложения-аутентификаторы: Локально сгенерированные через такие сервисы, как Google Authenticator или Microsoft Authenticator.

Их короткий срок действия повышает безопасность: коды, сгенерированные приложениями, обычно истекают через 30-60 секунд, а SMS или почтовые коды — через 5-10 минут. Эта динамичная функциональность делает OTP гораздо более безопасными, чем статические пароли.

Однако ключевая уязвимость заключается в их доставке, поскольку злоумышленники могут использовать уязвимости системы или человеческие ошибки для их перехвата. Несмотря на этот риск, OTP остаются надежным и эффективным инструментом для усиления онлайн-безопасности.

Какова роль OTP в MFA?#

Понимание многофакторной аутентификации (MFA) является ключевым в сегодняшнем цифровом ландшафте. MFA усиливает безопасность, требуя от пользователей верификации своей личности через несколько факторов, добавляя дополнительный уровень защиты, чтобы предотвратить несанкционированный доступ.

Типичный процесс MFA включает в себя следующие шаги:

1. Идентификатор пользователя: Это то, как система распознает пользователей. Это может быть имя пользователя, адрес электронной почты, номер телефона, идентификатор пользователя, идентификатор сотрудника, номер банковской карты или даже социальная идентичность.
2. Первый фактор аутентификации: Наиболее часто это пароль, но может также быть OTP по электронной почте или SMS OTP.
3. Второй фактор аутентификации: Этот шаг использует метод, отличный от первого, например, SMS OTP, OTP приложения-аутентификатора, физические ключи безопасности или биометрические данные, такие как отпечатки пальцев и распознавание лиц.
4. Дополнительный третий слой аутентификации: В некоторых случаях добавляется дополнительный уровень. Например, для входа в аккаунт Apple на новом устройстве может потребоваться дополнительная верификация.

Этот многоуровневый процесс значительно усиливает безопасность, так как злоумышленникам нужно обойти каждый уровень, чтобы получить доступ к аккаунту.

MFA обычно опирается на три категории факторов аутентификации:

Комбинируя эти методы, MFA создает надежную защиту от несанкционированного доступа. Это гарантирует, что даже если один слой будет скомпрометирован, общая безопасность аккаунта останется нетронутой, предоставляя пользователям усиленную защиту в все более связанном мире.

Что такое OTP-боты?#

OTP-боты — это автоматизированные инструменты, специально разработанные для кражи одноразовых паролей (OTP). В отличие от атак грубой силы, эти боты полагаются на обман и манипуляцию, используя человеческие ошибки, социальные инженерные уловки или уязвимости системы, чтобы обойти протоколы безопасности.

Возьмем в качестве примера общепринятый процесс верификации "Электронная почта (как идентификатор) + Пароль (как первый шаг верификации) + Программное обеспечение/SMS OTP (как второй шаг верификации)", атака обычно разворачивается в следующих шагах:

1. Атакующий получает доступ к странице входа или API приложения, как обычный пользователь.
2. Атакующий вводит постоянные учетные данные жертвы, такие как адрес электронной почты и пароль. Эти учетные данные часто получаются из баз данных с утечками пользовательской информации, которые легко купить в интернете. Многие пользователи склонны использовать одинаковые пароли на разных платформах, что делает их более уязвимыми. Кроме того, фишинговые техники часто используются, чтобы обмануть пользователей и заставить их раскрыть свои учетные данные.
3. Используя OTP-бота, атакующий перехватывает или получает одноразовый пароль жертвы. В рамках действующего времени действия они обходят процесс двухшаговой верификации.
4. Как только атакующий получает доступ к аккаунту, они могут приступить к переводу активов или конфиденциальной информации. Чтобы замедлить обнаружение жертвой взлома, атакующие часто предпринимают шаги, такие как удаление уведомлений или других предупреждающих знаков.

Теперь давайте детальнее рассмотрит как работают OTP-боты и механизмы, которые позволяют им использовать эти уязвимости.

Как работают OTP-боты?#

Ниже приведены некоторые из наиболее распространенных техник, используемых OTP-ботами, с примерами из реальной жизни.

Фишинговые боты#

Фишинг — одна из самых распространенных методик, используемых OTP-ботами. Вот как она работает:

1. Приманка (мошенническое сообщение): Жертва получает поддельное электронное письмо или текстовое сообщение, изображающее его как надежный источник, такой как его банк, социальная сеть или популярный онлайн-сервис. Обычно в сообщении утверждается, что возникла срочная проблема, такая как подозрительная попытка входа, проблема с оплатой или блокировка аккаунта, побуждая жертву к немедленным действиям.

2. Фальшивая страница входа: Сообщение содержит ссылку, перенаправляющую жертву на фальшивую страницу входа, которая выглядит в точности как официальный сайт. Эта страница настроена злоумышленниками для захвата учетных данных жертвы.

3. Кража учетных данных и инициирование MFA: Когда жертва вводит свой логин и пароль на фальшивой странице, фишинговый бот быстро использует эти украденные учетные данные для входа в настоящий сервис. Эта попытка входа вызывает запрос на многофакторную аутентификацию (MFA), такой как одноразовый пароль (OTP), отправленный на телефон жертвы.

4. Обман жертвы для получения OTP: Фишинговый бот обманывает жертву, чтобы получить OTP, показав команду на фальшивой странице (например, «Пожалуйста, введите код, отправленный на ваш телефон для верификации»). Думая, что это законный процесс, жертва вводит OTP, неосознанно предоставляя злоумышленнику все необходимое для завершения входа в настоящий сервис.

Например, в Великобритании инструменты, такие как "SMS Bandits", использовались для реализации утонченных фишинговых атак через текстовые сообщения. Эти сообщения имитируют официальные сообщения, обманывая жертв, чтобы они раскрывали свои учетные записи. Как только учетные данные скомпрометированы, SMS Bandits позволяют преступникам обойти многофакторную аутентификацию (MFA), запуская кражу OTP. Опасно, что эти боты достигают успеха примерно в 80% случаев, как только номер телефона цели введен, подчеркивая опасную эффективность таких фишинговых схем. Узнайте больше

Боты-вредоносные программы#

Боты-вредоносные программы на основе вредоносного ПО представляют серьезную угрозу, напрямую нацеливаясь на устройства для перехвата OTP, основанных на SMS. Вот как это работает:

1. Жертвы неосознанно загружают вредоносные приложения: Атакующие создают приложения, которые выглядят как законное программное обеспечение, такие как банковские или производительные инструменты. Жертвы часто устанавливают эти поддельные приложения через обманчивые рекламные объявления, неофициальные магазины приложений или фишинговые ссылки, отправленные по электронной почте или SMS.
2. Вредоносное ПО получает доступ к чувствительным разрешениям: После установки приложение запрашивает разрешения на доступ к SMS, уведомлениям или другим чувствительным данным на устройстве жертвы. Многие пользователи, не ведая о риске, предоставляют эти разрешения, не понимая истинного намерения приложения.
3. Вредоносное ПО отслеживает и крадет OTP: Вредоносное ПО работает тихо в фоновом режиме, отслеживая входящие сообщения SMS. Когда получен OTP, вредоносное ПО автоматически пересылает его злоумышленникам, давая им возможность обходить двухфакторную аутентификацию.

Отчет раскрыл кампанию, использующую вредоносные приложения для Android для кражи сообщений SMS, включая OTP, затронувшую 113 стран, с наибольшей пораженностью в Индии и России. Было обнаружено более 107 000 образцов вредоносного ПО. Инфицированные телефоны могут незаметно использоваться для регистрации аккаунтов и сбора OTP для двухфакторной аутентификации, представляя серьезные угрозы безопасности. Узнайте больше

SIM-свапинг#

С помощью SIM-свапинга злоумышленник берет под контроль номер телефона жертвы, обманывая телекоммуникационные компании. Как это работает:

1. Имитация: Атакующий собирает личную информацию о жертве (например, имя, дату рождения или данные учетной записи) через фишинг, социальные инженерные приемы или утечки данных.
2. Связь с провайдером: Используя эту информацию, атакующий звонит телекоммуникационному провайдеру жертвы, выдавая себя за жертву, и запрашивает замену SIM-карты.
3. Одобрение передачи: Провайдер обманом заставляют перенести номер жертвы на новую SIM-карту, контролируемую атакующим.
4. Перехват: После завершения передачи атакующий получает доступ к звонкам, сообщениям и одноразовым паролям (OTP) на основе SMS, что позволяет им обходить меры безопасности для банковских аккаунтов, электронной почты и других чувствительных сервисов.

SIM-свапинг-атаки растут, вызывая значительный финансовый ущерб. Только в 2023 году ФБР расследовало 1075 инцидентов SIM-свапинга, что привело к потерям в $48 миллионов. Узнайте больше

Голосовые боты#

Голосовые боты используют передовые техники социальной инженерии, чтобы обмануть жертв и заставить их раскрыть свои OTP (одноразовые пароли). Эти боты оснащены заранее подготовленными языковыми скриптами и настраиваемыми параметрами голоса, что позволяет им выдать себя за законные колл-центры. Изображая себя как надежные лица, они манипулируют жертвами, заставляя их открывать чувствительные коды по телефону. Как это работает:

1. Бот совершает звонок: Бот связывается с жертвой, позволяя себя представить от их банка или поставщика услуг. Он информирует жертву о "подозрительной активности", обнаруженной на их аккаунте, чтобы создать срочность и страх.
2. Запрос на верификацию личности: Бот просит жертву "верифицировать свою личность", чтобы защитить их аккаунт. Это достигается путём запроса ввода OTP жертвы (отправленный настоящим поставщиком услуг) по телефону.
3. Немедленный взлом аккаунта: Как только жертва предоставляет OTP, атакующий использует его в течение нескольких секунд, чтобы получить доступ к аккаунту жертвы, часто похищая деньги или чувствительные данные.

Платформа Telegram часто используется киберпреступниками либо для создания и управления ботами, либо для функционирования как канал поддержки клиентов для их операций. Один из таких примеров — это BloodOTPbot, бот на основе SMS, способный генерировать автоматические звонки, которые изображают себя как поддержка клиентов банка.

Атаки на SS7#

SS7 (Система сигнализации 7) — это телекоммуникационный протокол, критичный для маршрутизации звонков, SMS и роуминга. Однако он имеет уязвимости, которые хакеры могут использовать для перехвата SMS, включая одноразовые пароли (OTP), и обхода двухфакторной аутентификации (2FA). Эти атаки, хотя и сложные, использовались в крупных киберпреступлениях для кражи данных и денег. Это подчеркивает необходимость замены OTP на основе SMS более безопасными опциями, такими как аутентификаторы на базе приложений или аппаратные токены.

Как остановить атаки OTP-ботов?#

Атаки OTP-ботов становятся все более эффективными и широкораспространенными. Увеличение стоимости онлайн-аккаунтов, включая финансовые счета, криптовалютные кошельки и профили в социальных сетях, делает их выгодными целями для киберпреступников. Кроме того, автоматизация атак с использованием инструментов, таких как боты на базе Telegram, сделала эти угрозы более доступными, даже для начинающих хакеров. Наконец, многие пользователи слепо доверяют системам MFA, часто недооценивая, насколько легко можно эксплуатировать OTP.

Таким образом, защита вашей организации от OTP-ботов требует усиления вашей безопасности по нескольким ключевым направлениям.

Усильте безопасность первичной аутентификации#

Получение доступа к пользовательскому аккаунту требует преодоления нескольких уровней защиты, что делает первый уровень аутентификации критически важным. Как упомянуто ранее, одни пароли крайне уязвимы для атак OTP-ботов.

• Используйте социальную авторизацию или корпоративное SSO: Используйте надежных сторонних поставщиков идентификационных услуг (IdPs) для первичной аутентификации, таких как Google, Microsoft, Apple для социальной авторизации, или Okta, Google Workspace и Microsoft Entra ID для SSO. Эти методы без паролей предлагают более безопасную альтернативу паролям, которые легко эксплуатируются атакующими.
• Введите CAPTCHA и инструменты обнаружения ботов: Защищайте свою систему, развернув решения для обнаружения ботов, чтобы блокировать автоматизированные попытки доступа.
• Усильте управление паролями: Если остаются пароли, соблюдайте более строгие политики паролей, поощряйте пользователей использовать менеджеры паролей (например, Google Password Manager или iCloud Passwords), и требуйте периодических обновлений паролей для усиления безопасности.

Применяйте более интеллектуальную многофакторную аутентификацию#

Когда первой линии защиты взломана, вторая линия верификации становится критически важной.

• Переключитесь на аутентификацию на основе аппаратного обеспечения: Замените OTP по SMS на ключи безопасности (например, YubiKey) или ключи доступа в соответствии со стандартом FIDO2. Требуют физического владения, такие, которые устойчивы к фишингу, SIM-свапингу и атакам типа "человек в середине", предлагая гораздо более сильный уровень безопасности.
• Реализуйте адаптивную MFA: Адаптивная MFA постоянно анализирует контекстуальные факторы, такие как местоположение пользователя, устройство, сетевое поведение и шаблоны входа. Например, если попытка входа осуществляется с неизвестного устройства или необычного географического местоположения, система может автоматически запрашивать дополнительные шаги, такие как ответы на контрольный вопрос или верификацию личности через биометрическую аутентификацию.

Обучение пользователей#

Люди остаются слабым звеном, поэтому делайте обучение приоритетным.

• Используйте четкое брендинг и URL, чтобы минимизировать риски фишинга.
• Обучайте пользователей и сотрудников распознавать фишинговые попытки и вредоносные приложения. Регулярно напоминайте пользователям, чтобы они избегали делиться OTP через голосовые звонки или фишинговые страницы, неважно насколько они убедительны.
• При обнаружении аномальной активности аккаунта, сразу уведомляйте администраторов или программно прерывайте операцию. Аудит логов и вебхуки могут помочь в этом процессе.

Пересмотрите аутентификацию с помощью специализированных инструментов#

Внедрение внутренней системы управления идентификацией требует затрат и ресурсов. Вместо этого, компании могут защищать аккаунты пользователей более эффективно, сотрудничая с профессиональными сервисами аутентификации.

Решения, такие как Logto, предлагают мощное сочетание гибкости и надежной безопасности. С адаптивными функциями и легко интегрируемыми опциями, Logto помогает организациям оставаться впереди Развивающихся угроз безопасности как OTP-боты. Это также эффективный с точки зрения затрат выбор для масштабирования безопасности по мере роста вашего бизнеса.

Откройте для себя полный спектр возможностей Logto, включая Logto Cloud и Logto OSS, посетив сайт Logto: