OTP 機械人：它們是甚麼及如何防範攻擊

隨著對網上服務的依賴日益增加，多因素身份驗證（MFA）已成為抵禦網絡攻擊的關鍵防線。OTP（一次性密碼）是使用最廣泛的 MFA 元素之一，它是用作防止未經授權訪問帳戶的臨時、唯一碼。然而，OTP 已不再像過去那樣確保萬無一失。一波新興的網絡犯罪活動涉及 OTP 機械人，正挑戰它們的有效性，對企業和個人構成嚴重威脅。

了解 OTP 機械人的運作方式、攻擊方法和防禦策略至關重要。本指南將詳細解析 OTP 機械人的運作原理，並為你的組織提供強化安全性的可操作步驟。

甚麼是 OTP？#

一次性密碼 (OTP) 是用於單次驗證的獨特和有時效性限制的密碼。通過基於時間同步或加密計算的算法生成，OTP 為登錄或多因素身份驗證 (MFA) 系統提供額外的安全層。

OTP 可通過多種方式傳遞：

• 短信代碼： 通過短信或語音信息發送。
• 電子郵件代碼： 直接發送到用戶的收件箱。
• 驗證器應用： 通過例如 Google 驗證器或 Microsoft 驗證器生成。

它們短暫的有效期增強了安全性，應用生成的代碼通常在 30 到 60 秒內過期，SMS 或電子郵件代碼則有效 5 到 10 分鐘。這種動態功能使 OTP 比靜態密碼更安全。

然而，關鍵的漏洞在於它們的傳遞方式，因為攻擊者可能會利用系統漏洞或人為錯誤攔截它們。儘管存在此風險，但 OTP 仍然是增強網絡安全的可信且有效的工具。

OTP 在 MFA 中的角色是甚麼？#

在當今的數碼環境中，了解多因素身份驗證 (MFA)至為關鍵。MFA 通過要求用戶通過多個因素驗證其身份來加強安全性，增加了額外的防護層以防止未經授權的訪問。

典型的 MFA 過程涉及以下步驟：

1. 用戶標識符： 這是系統識別用戶的方式。可以是用戶名、電子郵件地址、電話號碼、用戶 ID、員工 ID、銀行卡號，甚至是社交身份。
2. 第一身份驗證因素： 最常見的是密碼，但也可以是電子郵件 OTP 或 SMS OTP。
3. 第二身份驗證因素： 此步驟使用不同於第一步的方法，例如 SMS OTP、驗證器應用 OTP、物理安全密鑰或生物識別如指紋和面部識別。
4. 可選的第三身份驗證層： 在某些情況下，會增加一個額外的層。例如，在新的設備上登錄蘋果帳戶時可能需要額外的驗證。

這種多層次的過程大大提高了安全性，因為攻擊者需要破解每一層才能獲得帳戶訪問權。

MFA 通常依賴三類身份驗證因素：

通過結合這些方法，MFA 創造了一個對未經授權訪問的強大防線。即使其中一層被攻破，帳戶的整體安全也得以維持，為用戶在不斷聯繫的世界中提供提升的保護。

甚麼是 OTP 機械人？#

OTP 機械人是專門設計用來竊取一次性密碼 (OTPs) 的自動化工具。與暴力破壞攻擊不同，這些機械人依賴欺騙和操縱，利用人為錯誤、社交工程策略或系統漏洞來繞過安全協議。

以常見的 "電郵（作為標識符）+ 密碼（作為第一驗證步驟）+ 軟件/SMS OTP（作為第二驗證步驟）" 認證流程為例，攻擊通常按以下步驟展開：

1. 攻擊者像常規用戶一樣訪問應用程序的登錄頁面或 API。
2. 攻擊者輸入受害者的固定憑證，例如他們的電子郵件地址和密碼。這些憑證一般從泄露的用戶信息數據庫中獲取，可於網上購得。由於許多用戶通常在不同平台上重複使用密碼，使他們更容易遭受攻擊。此外，釣魚技術經常被用作欺騙用戶以洩露其帳戶詳細信息。
3. 使用 OTP 機械人，攻擊者攔截或取得受害者的一次性密碼。在有效時間範圍內，他們繞過雙重驗證過程。
4. 當攻擊者獲得帳戶訪問權後，他們可能會繼續轉移資產或敏感信息。為了延遲受害者發現入侵，攻擊者常採取刪除通知警示或其他警告標誌的方式。

現在，我們更詳細地探索 OTP 機械人的實施和使它們能夠利用這些漏洞的機制。

OTP 機械人如何工作？#

下面是一些 OTP 機械人使用的最常見技術，與真實世界的例子一起展示。

釣魚機械人#

釣魚是 OTP 機械人使用的最常見方法之一。其工作方式如下：

1. 誘餌（虛假信息）： 受害者收到假裝來自可信來源的虛假電子郵件或短訊，例如他們的銀行、社交媒體平台或一個流行的在線服務。該消息通常聲稱出現緊急問題，如可疑的登錄嘗試、付款問題或帳戶暫停，迫使受害者立即採取行動。

2. 假的登錄頁面： 該消息包含一個鏈接，將受害者引導至一個外觀與官方網站一模一樣的虛假登錄頁面。這個頁面由攻擊者設置，用於捕捉受害者的登錄憑證。

3. 憑證被竊和 MFA 被觸發： 當受害者在假頁面上輸入他們的用戶名和密碼時，釣魚機械人會迅速使用這些被竊的憑證登錄至真正的服務。然後此登錄嘗試觸發一個多因素身份驗證 (MFA) 請求，例如一個 OTP 發送到受害者的電話。

4. 欺騙受害者提供 OTP： 釣魚機械人通過在假頁面上顯示提示（例如，“請輸入發送到你電話上的驗證碼”）欺騙受害者提供 OTP。受害者認為這是一個合法的過程，便輸入 OTP，無意中向攻擊者提供完成在真實服務上的登入所需的一切。

例如，在英國，工具像 "SMS Bandits" 已經被用於通過短信發起精密的釣魚攻擊。這些信息模仿官方通訊，欺騙受害者透露他們的帳戶憑證。一旦憑證遭到破壞，SMS Bandits 讓罪犯發起 OTP 盜竊來繞過多因素身份驗證（MFA）。令人警惕的是，這些機械人一旦獲得目標手機號，就能達到約 80% 的成功率，突顯出此類釣魚方案的危險有效性。

惡意程式機械人#

基於惡意程式的 OTP 機械人對於使用 SMS 的 OTP 構成嚴重威脅。其運作方式如下：

1. 受害者不知不覺地下載了惡意應用： 攻擊者創建外觀和合法軟件相似的應用，如銀行或生產力工具。受害者通常通過誤導性廣告、非官方應用商店或郵件或短信中發送的釣魚鏈接安裝這些假應用。
2. 惡意程式獲得對敏感權限的訪問： 一旦安裝，應用請求訪問 SMS、通知或受害者設備上的其他敏感數據的權限。許多用戶未意識到風險，便授予這些權限而不明白應用的真實意圖。
3. 惡意程式監控並盜取 OTPs： 惡意程式在背景中默默運行，監控入站 SMS 消息。當 OTP 收到時，惡意程式會自動將其轉發給攻擊者，使他們能夠繞過雙重驗證。

報告顯示一項使用惡意 Android 應用程式劫取 SMS 的活動，包括 OTP，影響到113個國家，印度和俄羅斯受到最嚴重的打擊。發現超過 107,000 個惡意程序樣本。被感染的手機可能在不知不覺中被用來註冊帳號並收集2FA OTP，構成嚴重的安全風險。

SIM 換卡#

通過 SIM 換卡，攻擊者通過欺騙電訊提供商來控制受害者的電話號碼。運作方式如下：

1. 偽裝： 攻擊者通過釣魚、社交工程或資料洩漏獲得有關受害者的資料（例如，姓名、出生日期或帳戶詳情）。
2. 聯絡提供商： 使用此資訊，攻擊者致電受害者的電訊提供商，自稱是受害者並請求 SIM 卡替換。
3. 傳輸批准： 提供商被騙將受害者的號碼轉移到由攻擊者控制的新 SIM 卡。
4. 攔截： 一旦傳輸完成，攻擊者便可訪問受害者的電話和消息，包括 SMS 所發送的一次性密碼（OTPs），使他們能夠繞過銀行帳戶、電子郵件和其他敏感服務的安全措施。

SIM 換卡攻擊正在增加，造成重大財務損失。僅在 2023 年，FBI 調查了 1,075 件 SIM 換卡事件，導致 4,800 萬美元的損失。

語音呼叫機械人#

語音機械人使用先進的社交工程技術來欺騙受害者透露他們的 OTP（一次性密碼）。這些機械人提供預設語言腳本和可自定義的語音選項，使其能夠假裝是合法的呼叫中心。通過假裝成受信任的實體，它們操縱受害者在電話上披露敏感代碼。其運作方式如下：

1. 機械人撥打電話： 機械人聯繫受害者，假裝來自其銀行或服務供應商。它告知受害者 "檢測到可疑活動"，以製造緊迫感和恐懼。
2. 身份驗證請求： 機械人要求受害者「驗證其身份」以確保其帳戶安全。這是通過請求受害者在電話上輸入其 OTP （由實際服務供應商發送）來完成的。
3. 立即帳戶入侵： 一旦受害者提供 OTP，攻擊者便利用它在數秒內訪問受害者的帳戶，通常以竊取金錢或敏感數據。

Telegram 平台常被網絡犯罪分子用作製作和管理機械人或其操作的客戶支持渠道。例如BloodOTPbot，一個 SMS 為基礎的機械人，能夠生成假冒銀行客戶支持的自動通話。

SS7 攻擊#

SS7（訊號系統 7）是一個電訊協議，適用於路由通話、SMS 和漫遊。然而，它具有漏洞，黑客可以利用來攔截 SMS，包括一次性密碼（OTP），並繞過雙重身份驗證（2FA）。這些攻擊，儘管複雜，已經在重大網絡犯罪中被用來竊取數據和資金。這突顯了以應用程序為基准的驗證器或硬件令牌替代 SMS 基于 OTP 的需求。

如何阻止 OTP 機械人攻擊？#

OTP 機械人攻擊日益變得更為有效和普及。網上帳戶的價值增加（包括金融帳戶、加密貨幣錢包和社交媒體帳戶），使它們成為網絡犯罪分子的可觀目標。此外，通過 Telegram 為基礎的機械人等工具自動化攻擊，使這些威脅變得更易接觸，即使對於業餘黑客也是如此。最終，許多用戶對 MFA 系統盲目信任，經常低估 OTP 如何輕易被利用。

因此，保護你的組織免受 OTP 機械人攻擊需要加固你在幾個關鍵領域的安全。

加強主要驗證安全性#

獲取用戶帳戶訪問權需要克服多層的保護，使得第一層的驗證至關重要。如前所述，單純的密碼易於受到 OTP 機械人的攻擊。

• 運用 社交登錄 或 企業 SSO： 使用安全的第三方身份提供者(IdPs)作為主要驗證，如 Google、Microsoft、Apple 作為社交登錄，或 Okta、Google Workspace 和 Microsoft Entra ID 作為 SSO。這些無密碼的方法提供比攻擊者容易利用的密碼更為安全的替代品。
• 實行 CAPTCHA 和機械人檢測工具： 透過部署機械人檢測方案阻止自動化登錄嘗試來保障你的系統。
• 加強密碼管理： 如果仍然使用密碼，請實行更嚴格的密碼政策，鼓勵使用者採用密碼管理器（例如 Google 密碼管理器或 iCloud 密碼管理），並要求定期更新密碼以增強安全性。

應用更聰明的多因素身份驗證#

當第一道防線被突破時，第二層驗證變得非常重要。

• 轉向硬件為基礎的身份驗證： 用安全密鑰（例如 YubiKey）或遵循 FIDO2 標準的通行密碼取代短信 OTPs。這些需要實物擁有性，可以防釣魚，SIM 換卡及中間人攻擊，提供更強大的安全層。
• 實行自適應高度 MFA： 自適應 MFA 持續分析上下文因素如用戶位置信息、設備、網絡行為及登錄模式。例如，如果登錄嘗試來自不認識的設備或異常地理位置，系統可以自動要求額外的步驟，例如回答安全問題或通過生物識別進行身份驗證。

用戶教育#

人仍然是最薄弱的一環，因此讓教育成為首要任務。

• 使用清晰的品牌和 URL，以最小化釣魚風險。
• 培訓用戶和員工識別釣魚企圖和惡意應用。定期提醒用戶避免在語音通話或釣魚頁面上共享 OTPs，不管它們看起來多有說服力。
• 當檢測到異常帳戶活動時，及時通知管理員或程序化地終止操作。審計日誌和網絡掛鉤可以幫助這一過程進行。

使用專用工具重新思考認證#

建設內部身份管理系統既昂貴又資源密集。相反，企業可以通過與專業認證服務合作更有效地保護用戶帳戶。

像Logto這樣的解決方案提供了靈活性與強大安全性的強力結合。Logto 幫助組織在像 OTP 機械人這樣不斷演變的安全威脅面前保持領先位置，其適應性功能和易於集成的選項。隨著業務成長，它也是一個 具成本效益的選擇來擴大安全性。

通過訪問 Logto 網站發現 Logto 的全方位功能，包括 Logto Cloud 和 Logto OSS：