简体中文
  • OTP 机器人
  • MFA
  • 认证
  • 安全
  • 无密码

OTP 机器人:它们是什么以及如何防止攻击

了解什么是 OTP 机器人,它们如何通过真实案例利用一次性密码,以及保护企业免受这些网络威胁的策略。本指南为产品开发和企业管理专业人士提供实用建议。

Ran
Ran
Product & Design

随着对在线服务的依赖增加,多因素认证 (MFA) 已成为抵御网络攻击的重要防线。最广泛使用的 MFA 元素之一是一种临时、唯一代码的 OTP,旨在防止未授权访问。然而,OTP 不再像以前那样万无一失。涉及 OTP 机器人的新一波网络犯罪活动正在挑战其有效性,并对企业和个人构成严重威胁。

了解 OTP 机器人的运作方式、攻击方法以及防御策略至关重要。本指南将揭示 OTP 机器人的机制,并提供可操作的步骤来加强组织的安全性。

什么是 OTP?

一次性密码 (OTP) 是用于单次身份验证的唯一、时间敏感的代码。通过基于时间同步或加密计算的算法生成,OTP 为登录或多因素认证 (MFA) 系统提供额外的安全层。

OTP 可以通过多种方式传递:

  • **短信代码:**通过短信或语音消息发送。
  • **电子邮件代码:**直接发送到用户的收件箱。
  • **身份验证器应用:**通过 Google Authenticator 或 Microsoft Authenticator 等服务在本地生成。

OTP 机器人的攻击对象.png

其短暂性质增强了安全性,应用生成的代码通常在 30 到 60 秒内过期,而短信或电子邮件代码则持续 5 到 10 分钟。这种动态功能使得 OTP 比静态密码更安全。

然而,其传递过程中的一个关键漏洞在于攻击者可能利用系统漏洞或人为错误来截获它们。尽管存在这种风险,OTP 仍然是增强在线安全性的可信且有效的工具。

OTP 在 MFA 中的作用是什么?

在当今的数字环境中,理解多因素认证 (MFA) 至关重要。MFA 通过要求用户通过多个因素验证其身份,加强了安全性,增加了额外的保护层以防止未授权访问。

典型的 MFA 过程包括以下步骤:

  1. **用户识别符:**这是系统识别用户的方式。它可以是用户名、电子邮件地址、电话号码、用户 ID、员工 ID、银行账户号码甚至是社交身份。
  2. **第一认证因素:**最常见的是密码,但也可以是电子邮件 OTP 或短信 OTP。
  3. **第二认证因素:**此步骤使用与第一步不同的方法,例如短信 OTP、身份验证器应用 OTP、物理安全密钥或生物特征如指纹和面部识别。
  4. **可选的第三认证层:**在某些情况下,会增加额外的层。例如,在新设备上登录 Apple 账户时可能需要进行额外验证。

MFA 过程

这一多层次的过程显著增强了安全性,因为攻击者需要绕过每一层才能获得帐户访问。

MFA 通常依赖于三类认证因素:

含义验证因素
知识你知道的东西密码、电子邮件 OTP、备份代码
拥有你所拥有的东西短信 OTP、身份验证器应用 OTP、安全密钥、智能卡
特性你是什么生物特征如指纹或面部 ID

通过结合这些方法,MFA 创建了一个对抗未授权访问的强大防线。即使其中一层被破坏,帐户的整体安全性仍然保持完整,在一个日益互联的世界中为用户提供了增强的保护。

什么是 OTP 机器人?

OTP 机器人是专门设计用来窃取一次性密码 (OTP) 的自动化工具。与暴力破解不同,这些机器人依赖于欺骗和操纵,利用人为错误、社会工程策略或系统漏洞来绕过安全协议。

以“电子邮件(作为标识符)+密码(作为第一验证步骤)+软件/短信 OTP(作为第二验证步骤)”的常见验证过程为例,攻击通常按以下步骤展开:

  1. 攻击者像普通用户一样访问应用程序的登录页面或 API。
  2. 攻击者输入受害者的固定凭据,例如他们的电子邮件地址和密码。这些凭据通常来自于网上可轻易购买的泄漏用户信息数据库。由于许多用户在不同平台上重复使用密码,这使他们更容易受到攻击。此外,网络钓鱼技术经常被用来诱骗用户透露他们的帐户详细信息。
  3. 使用 OTP 机器人,攻击者截获或检索受害者的一次性密码。在有效时间范围内,他们绕过两步验证过程。
  4. 一旦攻击者获得帐户访问权,他们可能会继续转移资产或敏感信息。为了延迟受害者发现漏洞,攻击者经常采取措施,例如删除通知警报或其他警告信号。

现在,让我们更详细地探讨 OTP 机器人是如何实施的以及能够利用这些漏洞的机制。

OTP 机器人如何工作?

以下是一些 OTP 机器人使用的最常见技术,附有实际示例。

网络钓鱼机器人

网络钓鱼是 OTP 机器人最常用的方法之一。工作原理如下:

  1. 诱饵(欺诈信息): 受害者收到假冒可信来源(如其银行、社交媒体平台或知名在线服务)的电子邮件或短信。消息通常声称存在紧急问题,如可疑登录尝试、付款问题或账户冻结,迫使受害者立即采取行动。

  2. 伪造的登录页面: 消息包含一个链接,将受害者引导至一个假冒官方网站的登录页面。该页面由攻击者设置来捕获受害者的登录凭据。

  3. 凭据被盗和 MFA 启动: 当受害者在伪造页面上输入其用户名和密码时,网络钓鱼机器人迅速使用这些被盗凭据登录真实服务。这次登录尝试随后会触发多因素认证 (MFA) 请求,例如发送给受害者手机的一次性密码 (OTP)。

  4. 欺骗受害者获取 OTP: 网络钓鱼机器人通过在假冒页面上显示提示(例如“请输入发送到你手机的代码进行验证”)来欺骗受害者。认为这是一个合法过程,受害者输入 OTP,在不知不觉中向攻击者提供了完成真实服务登录所需的一切信息。

例如,在英国,类似"SMS Bandits"的工具被用来通过短信发起复杂的网络钓鱼攻击。这些信息模仿官方通信诱骗受害者泄露他们的帐户凭据。一旦凭据被危及,SMS Bandits 便通过启动 OTP 盗窃来使犯罪分子绕过多因素认证 (MFA)。令人担忧的是,当目标的电话号码被输入后,这些机器人有着约 80% 的成功率,突显了此类网络钓鱼计划的危险有效性。

恶意软件机器人

基于恶意软件的 OTP 机器人是一个严重威胁,直接针对设备来拦截基于短信的 OTP。其工作原理如下:

  1. 受害者在无意中下载恶意应用: 攻击者创建看起来像合法软件的应用程序,例如银行或生产力工具。受害者通常通过误导性广告、非官方应用商店或通过电子邮件或短信发送的网络钓鱼链接安装这些假应用。
  2. 恶意软件访问敏感权限: 安装后,应用请求访问受害者设备上的短信、通知或其他敏感数据的权限。许多用户不了解风险,便随意授权这些权限而未意识到应用的真实意图。
  3. 恶意软件监控并窃取 OTP: 恶意软件在后台静默运行,监控传入的短信消息。当收到 OTP 时,恶意软件会自动将其转发给攻击者,使他们能够绕过两因素认证。

一份报告显示,一场使用 Android 恶意应用窃取短信的活动,影响了 113 个国家,其中印度和俄罗斯受灾最严重。超过 107,000 个恶意软件样本被发现。被感染的手机可能在无意中用于注册帐户并收集 2FA OTP,构成严重的安全风险。

SIM 卡换绑

通过 SIM 卡换绑,攻击者通过欺骗电信供应商来控制受害者的电话号码。其工作原理如下:

  1. 冒充受害者: 攻击者通过网络钓鱼、社会工程或数据泄露获取有关受害者的个人信息(如姓名、出生日期或账户详情)。
  2. 联系供应商: 利用这些信息,攻击者拨打受害者的电信供应商的客服电话,假装是受害者并请求更换 SIM 卡。
  3. 批准转移: 供应商被欺骗,将受害者的号码转移到由攻击者控制的新 SIM 卡上。
  4. 拦截: 一旦完成转移,攻击者即可访问电话、短信和基于短信的一次性密码 (OTP),从而绕过银行账户、电子邮件和其他敏感服务的安全措施。

SIM 换绑攻击正在上升,造成了显著的财务损失。仅在 2023 年,FBI 调查了 1,075 次 SIM 换绑事件,导致损失达 4800 万美元。

语音呼叫机器人

语音机器人使用高级社会工程技术诱骗受害者泄露其一次性密码 (OTP)。这些机器人配备了预设的语言脚本和可定制的语音选项,使其能够冒充合法的呼叫中心。通过假装是受信任的实体,它们操纵受害者在电话中披露敏感代码。其工作原理如下:

  1. **机器人拨打电话:**机器人联系受害者,假装来自其银行或服务提供商,通知受害者其账户上检测到“可疑活动”,以产生紧迫感和恐惧。
  2. **身份验证请求:**机器人要求受害者“验证身份”以确保其帐户安全。 这通常是通过请求受害者将实际服务提供商发送的 OTP 输入电话中实现。
  3. **即时帐户入侵:**一旦受害者提供 OTP,攻击者便在几秒钟内使用 OTP 获得受害者账户的访问权限,往往会窃取金钱或敏感数据。

Telegram 平台常被网络犯罪分子用来创建和管理机器人或充当其操作的客户支持渠道。例如 BloodOTPbot,一个基于短信的机器人,可以生成冒充银行客户服务的自动呼叫。

SS7 攻击

SS7(信令系统 7)是电信协议,对路由呼叫、短信和漫游至关重要。然而,它存在漏洞,黑客可以利用这些漏洞来拦截短信(包括一次性密码 OTP),从而绕过双因素认证 (2FA)。虽然这些攻击很复杂,但在重大网络犯罪中被用于窃取数据和金钱。这突显了需要用更安全的选项(如基于应用的认证器或硬件令牌)来替代基于短信的 OTP 的重要性。

如何阻止 OTP 机器人攻击?

OTP 机器人攻击变得越来越有效和广泛。在线账户(包括金融账户、加密货币钱包和社交媒体账户)的价值不断攀升,这使其成为网络犯罪分子的有利可图目标。此外,通过 Telegram 基于机器人的工具自动化攻击使这些威胁更容易被初学者黑客使用。最后,许多用户对 MFA 系统盲目信任,常常低估了 OTP 被利用的容易程度。

因此,保护你的组织免受 OTP 机器人的攻击需要在几个关键领域加强安全性。

加强初次认证安全

获得用户帐户访问需要克服多个保护层,使得第一层认证变得至关重要。如之前所述,仅凭密码很容易受到 OTP 机器人攻击。

  • **利用社交登录企业 SSO:**使用第三方身份提供商 (IdP) 来实现更安全的初次认证,如 Google、Microsoft、Apple 用于社交登录,或 OktaGoogle WorkspaceMicrosoft Entra ID 用于 SSO。这些无密码方法提供了比攻击者可以轻易利用的密码更安全的替代方案。
  • **实施 CAPTCHA 和机器侦测工具:**部署机器人检测解决方案来防止自动化访问尝试。
  • **加强密码管理:**如果仍在使用密码,请实施更严格的密码政策,鼓励用户使用密码管理器(例如 Google 密码管理器或 iCloud 密码),并要求定期更新密码以提高安全性。

应用更智能的多因素认证

当第一道防线被突破时,第二层验证变得关键。

  • **转向基于硬件的认证:**用安全密钥(如 YubiKey)或遵循 FIDO2 标准的安全密钥替换短信 OTP。它们需要物理拥有,能够抵御网络钓鱼、SIM 换绑和中间人攻击,提供更强的安全层。
  • **实施自适应 MFA:**自适应 MFA 持续分析上下文因素,如用户的位置、设备、网络行为和登录模式。例如,如果某次登录尝试是从未认可设备或异常地理位置进行的,系统可以自动请求附加步骤,如回答安全问题或通过生物识别进行身份验证。

用户教育

人始终是最薄弱的环节,因此优先进行教育。

  • 使用清晰的品牌和 URL 以降低网络钓鱼风险。
  • 培训用户和员工识别网络钓鱼企图和恶意应用。定期提醒用户不要在语音通话或网络钓鱼页面上共享 OTP,无论它们看起来多么真实。
  • 当检测到异常的帐户活动时,及时通知管理员或以程序化方式终止操作。审核日志网络钩子可以帮助这项工作顺利进行。

使用专用工具重新思考认证

实现自主身份管理系统成本高昂且耗费资源。相反,企业可以通过与专业认证服务公司合作更高效地保护用户帐户。

Logto 这样的解决方案提供了一种强大的灵活性和安全性的组合。凭借自适应功能和易于集成的选项,Logto 帮助企业在不断发展的安全威胁如 OTP 机器人面前保持领先地位。它也是随业务增长而扩展安全的经济有效的选择

通过访问 Logto 网站了解 Logto 的全部功能,包括 Logto CloudLogto OSS

发现 Logto — 最适合开发者的 CIAM 解决方案