OTP 機械人：它們是什麼以及如何防止攻擊

隨著對網上服務的依賴增加，多因素認證（MFA）已成為對抗網絡攻擊的重要防線。當中最廣泛使用的 MFA 元素之一是一次性密碼（OTP），一個旨在抵擋未經授權進入的臨時且唯一的密碼。然而，OTP 不再如以往般萬無一失。新一波涉及 OTP 機械人的網絡犯罪活動正挑戰其有效性，對企業和個人都構成嚴重威脅。

了解 OTP 機械人如何運作、其攻擊方法以及防禦策略是至關重要的。這份指南將拆解 OTP 機械人的運作機制，並為你的機構提供強化安全性的可行步驟。

什麼是 OTP？#

一次性密碼（OTP） 是一個用於單次身份驗證的獨特時間敏感密碼。通過基於時間同步或加密計算生成，OTP 給登錄或多因素認證（MFA）系統提供了額外的安全層。

OTPs 可以通過多種方式傳遞：

• SMS 代碼： 通過短信或語音消息傳遞。
• 電子郵件代碼： 直接發送到用戶的收件箱。
• 身份驗證應用： 通過諸如 Google Authenticator 或 Microsoft Authenticator 等服務本地生成。

其短暫的性質提高了安全性，應用生成的代碼通常在 30 到 60 秒內過期，而 SMS 或電子郵件代碼持續 5 到 10 分鐘。這種動態功能使 OTP 遠比靜態密碼更安全。

然而，其交付中的一個主要漏洞在於，攻擊者可能會利用系統弱點或人為錯誤來攔截它們。儘管存在此風險，OTP 仍然是一個對增強網上安全性值得信賴且有效的工具。

OTP 在 MFA 中的角色是什麼？#

了解多因素認證（MFA）在當今數位領域中至關重要。MFA 透過要求用戶通過多個因素驗證身份，增強了安全性，增加了防止未經授權進入的額外保護層。

一個典型的 MFA 過程包括以下步驟：

1. 用戶識別符： 這是系統識別用戶的方法。它可以是用戶名、電子郵件地址、電話號碼、用戶 ID、員工 ID、銀行卡號，甚至是社交身份。
2. 第一個身份驗證因素： 最常見的是密碼，但也可以是電子郵件 OTP 或 SMS OTP。
3. 第二個身份驗證因素： 這一步使用與第一步不同的方法，例如 SMS OTP、身份驗證應用 OTP、實體安全密鑰或像指紋和人臉識別一樣的生物識別。
4. 可選第三層身份驗證： 在某些情況下，會增加一層。例如，在新設備上登錄 Apple 賬戶可能需要額外的驗證。

這個多層次的過程顯著增強了安全性，因為攻擊者需要繞過每一層才能進入一個賬戶。

MFA 通常依賴於三種類型的身份驗證因素：

透過結合這些方法，MFA 創建了針對未經授權進入的強大防禦。它確保即使一層被破解，賬戶的整體安全性仍然保持不變，為用戶在日益互聯的世界中提供增強的保護。

什麼是 OTP 機械人？#

OTP 機械人是專門設計來竊取一次性密碼（OTPs）的自動化工具。與暴力破解攻擊不同，這些機械人依賴於欺騙和操作，利用人為錯誤、社會工程策略或系統漏洞來繞過安全協議。

以“電子郵件（作為標識符） + 密碼（作為首步驗證） + 軟件/SMS OTP（作為二步驗證）”的常見驗證過程為例，通常攻擊會按照以下步驟展開：

1. 攻擊者像普通用戶一樣進入應用程序的登錄頁面或 API。
2. 攻擊者輸入受害者的固定憑證，如其電子郵件地址和密碼。這些憑證通常來自於在線可購買的洩露用戶資料庫。許多用戶會在不同平台間重復使用密碼，使他們更容易受到攻擊。此外，釣魚技術經常被用來欺騙用戶洩露其賬戶詳細信息。
3. 利用 OTP 機械人，攻擊者攔截或獲取受害者的一次性密碼。在有效時間內，他們繞過二步驗證過程。
4. 攻擊者一旦成功獲得賬戶進入權，通常會轉移資產或敏感信息。為了延遲受害者發現突破，攻擊者往往會採取措施，如刪除通知警報或其他警示信號。

現在，讓我們更深入探討 OTP 機械人如何實現以及哪些機制使其能夠利用這些漏洞。

OTP 機械人如何運作？#

以下是一些最常用的 OTP 機械人技術，並附有現實世界的例子。

釣魚機械人#

釣魚是 OTP 機械人使用最常見的方法之一。以下是其運作方式：

1. 誘餌（欺詐性信息）： 受害者收到一封假的電子郵件或短信，偽裝成可信賴來源，例如銀行、社交媒體平台或受歡迎的在線服務。信息通常聲稱有緊急問題，如可疑的登錄嘗試、付款問題或賬戶暫停，迫使受害人立即採取行動。

2. 偽裝的登錄頁面： 信息包含一個鏈接，將受害者導向偽裝成正品官網的偽裝登錄頁。這個頁面由攻擊者設置來捕獲受害者的登錄憑證。

3. 憑證被竊取並觸發多因素認證： 當受害者在偽裝網頁上輸入其用戶名和密碼時，釣魚機械人迅速使用這些被盜憑證來登錄真實服務。這次登錄嘗試隨即觸發多因素認證（MFA）請求，例如發送到受害者手機上的一次性密碼（OTP）。

4. 欺騙受害者提供 OTP： 釣魚機械人通過在偽裝網頁上顯示一個提示（例如，“請輸入發送到你手機上的代碼以供驗證”）來欺騙受害者提供 OTP。以為這是合法過程，受害者輸入了 OTP，無意中給攻擊者提供了登錄真實服務所需的一切。

例如在英國，像"SMS Bandits"這樣的工具已被用來通過短信進行複雜的釣魚攻擊。這些信息模仿官方通訊，誤導受害者透露其賬戶憑證。憑證一旦洩露，SMS Bandits 便能夠通過啟動 OTP 盜竊來繞過多因素認證（MFA）。驚人的是，這些機械人一旦輸入了目標的電話號碼，成功率約為 80%，突顯了這種釣魚方案的危險有效性。了解更多

惡意軟件機械人#

基於惡意軟件的 OTP 機械人是一個嚴重的威脅，直接針對設備攔截 SMS 基於的 OTP。以下是其運作方式：

1. 受害者在不知情下下載惡意應用： 攻擊者製作文檔類似合法軟件的應用程式，如銀行或生產力工具。受害者通常會通過誤導性廣告、非官方應用商店或透過電子郵件或 SMS 發送的釣魚鏈接安裝這些假應用。

2. 惡意軟件獲得敏感權限： 安裝後，應用請求訪問 SMS、通知或其他敏感數據的權限。許多用戶在不瞭解風險的情況下，授予這些權限而未察覺應用的真正意圖。

3. 惡意軟件監控並偷取 OTPs： 惡意軟件在後台靜默運行，監控傳入的 SMS 消息。當收到 OTP 時，惡意軟件會自動將其轉發給攻擊者，使他們能夠繞過二因素認證。

報告揭示了一場使用惡意 Android 應用來竊取包括 OTPs 在內的 SMS 消息的活動，影響了 113 個國家，其中印度和俄羅斯受影響最嚴重。發現了逾 107,000 個惡意軟件樣本。感染的手機可能在不知情下被用來註冊賬號並收集 2FA OTP，構成嚴重的安全隱患。了解更多

SIM 替換#

透過 SIM 替換，攻擊者通過欺騙電信供應商來控制受害者的電話號碼。其運作如下：

1. 冒充:  攻擊者通過釣魚、社交工程或數據洩露，收集關於受害者的個人信息（如姓名、出生日期或賬戶詳情）。

2. 聯絡供應商:  利用這些信息，攻擊者假裝成受害者，聯絡其電信供應商，請求更換 SIM 卡。

3. 轉移批准:  供應商被欺騙，同意將受害者的號碼轉移到攻擊者控制的新 SIM 卡上。

4. 攔截:  一旦轉移完成，攻擊者便可訪問電話、消息和基於 SMS 的一次性密碼（OTPs），使其能夠繞過銀行賬戶、電子郵件及其他敏感服務的安全措施。

SIM 替換攻擊正在增加，造成顯著的財務損失。僅在 2023 年，美國聯邦調查局調查了 1,075 件 SIM 替換事件，導致 4,800 萬美元損失。了解更多

語音呼叫機械人#

語音機械人使用高級社會工程技術，誘騙受害者透露其 OTPs（一次性密碼）。這些機械人配備了預設語言腳本和可定製的語音選項，使其可以冒充合法的呼叫中心。通過假裝是受信任的機構，他們誘導受害者在電話中透露敏感代碼。其運作方式如下：

1. 機械人撥打電話： 機械人聯絡受害者，假裝來自其銀行或服務提供商。機械人通知受害者其賬戶中檢測到“可疑活動”，以產生緊迫感和恐懼。

2. 身份驗證請求： 機械人要求受害者“驗證身份”以保護其賬戶。這是透過要求受害者在電話中輸入 OTP（由實際服務提供商發送）進行的。

3. 即時賬戶侵入： 一旦受害者提供 OTP，攻擊者便於幾秒內使用它來獲得受害者的賬戶訪問權，通常竊取錢財或敏感數據。

網絡犯罪分子經常利用 Telegram 平台製造和管理機械人，或作為其運營的客戶支持渠道。其中一例是 BloodOTPbot，這是一個以 SMS 為基礎的機械人，能夠生成冒充銀行客戶服務的自動化電話。

SS7 攻擊#

SS7（信號系統 7） 是一種電信協議，對於呼叫、SMS 和漫遊的路由至關重要。然而，它存在漏洞，使黑客能夠攔截 SMS，包含一次性密碼（OTPs），並繞過二因素認證（2FA）。這些攻擊雖然複雜，卻在重大網絡犯罪中被利用來竊取數據和金錢。這突顯了用應用程序基於的身份驗證器或硬件令牌替換 SMS 基於的 OTPs 的必要性。

如何阻止 OTP 機械人攻擊？#

OTP 機械人攻擊正變得越來越有效和普遍。包括金融賬戶、加密錢包和社交媒體檔案在內的在線賬戶價值不斷上升，使其成為網絡罪犯的有利可圖目標。此外，通過像基於 Telegram 的機械人這樣的工具進行攻擊自動化，使這些威脅更容易被採用，即便是業餘黑客。最後，許多用戶對 MFA 系統的信任往往易於低估 OTP 被利用的容易程度。

因此，保護你的機構免受 OTP 機械人影響需要加強多個關鍵領域的安全性。

加強初步身份驗證安全性#

獲得用戶賬戶訪問權需要克服多層保護，使得第一層身份驗證至關重要。正如先前所提，單密碼對 OTP 機械人攻擊來說是非常脆弱的。

• 使用 社交登錄或企業 SSO： 使用安全的第三方身份供應商（IdPs）進行主要身份驗證，如 Google、Microsoft、Apple 的社交登錄，或 Okta、Google Workspace 和 Microsoft Entra ID 的 SSO。這些無密碼方法提供了比攻擊者容易利用的密碼更安全的選擇。
• 實施 CAPTCHA 和機械人檢測工具： 透過部署機械人檢測解決方案，防止自動化進入嘗試來保護系統。
• 加強密碼管理： 若密碼仍在使用，請強制執行更嚴格的密碼政策，鼓勵用戶採用密碼管理器（例如 Google 密碼管理器或 iCloud 密碼）並要求定期更新密碼以增強安全性。

應用更智能的多因素驗證#

當第一道防線被突破時，第二層驗證變得至關重要。

• 切換到硬件基於的身份驗證： 用安全密鑰（如 YubiKey）或遵循 FIDO2 標準的通行密鑰替換 SMS OTPs。這些需要實體擁有，抗擊釣魚、SIM 更換和中間人攻擊，提供了更強的安全層。
• 實施自適應 MFA： 自適應 MFA 不斷分析上下文因素，例如用戶的位置、設備、網絡行為和登錄模式。例如，若是一個未被識別的設備或不尋常的地理位置進行登錄嘗試，系統可以自動要求額外步驟，如回答安全問題或透過生物識別身份驗證。

用戶教育#

人類仍然是最薄弱的一環，因此將教育列為首要任務。

• 使用明確的品牌標識和 URL 來減少釣魚風險。
• 培訓用戶和員工識別釣魚嘗試和惡意應用。定期提醒用戶不論多麽具有說服力都要避免在語音呼叫或釣魚頁面上共享 OTPs。
• 當檢測到不正常的賬戶活動時，立即通知管理員或以編程方式終止操作。審核日誌和網絡鉤子可以幫助此過程運行。

重新考慮使用專用工具的身份驗證#

實施內部身份管理系統成本高昂且資源密集。相反，企業可以透過與專業身份驗證服務合作來更有效保護用戶賬戶。

像 Logto 這樣的解決方案提供了靈活性與強大安全性的強化組合。透過自適應功能和易於集成選項，Logto 幫助機構在不斷演變的安全威脅中保持領先，如 OTP 機械人。這也是隨著你的業務增長擴展安全性的具成本效益的選擇。

通過訪問 Logto 網站瞭解 Logto 的全部功能，包括 Logto Cloud 和 Logto OSS：