Jednorázové přístupové kódy (OTP) jsou klíčovou součástí tradičního dvoufázového ověření (2FA) a vícefaktorového ověření (MFA).

Při přihlašování k účtu nebo ověřování transakce je obdržíte e-mailem, v SMS nebo v ověřovacích aplikacích za účelem potvrzení své identity.

Kyberzločinci nyní našli způsob, jak tyto ochrany obejít pomocí OTP botů.

Co je to OTP bot?

OTP bot je automatizovaný softwarový program, který zachycuje nebo krade jednorázové přístupové kódy sloužící k ověření vaší identity. Cílem je získat kontrolu nad vaším účtem v rámci útoku označovaného jako převzetí účtu (nebo ATO).

Kyberzločinci si mohou útoky pomocí OTP botů koupit na nelegálních tržištích, často přes Telegram, již od 10 dolarů za útok. Tento nízkonákladový a škálovatelný přístup umožňuje útočníkům s minimálním úsilím cílit na mnoho lidí současně.

Jak OTP boti fungují

OTP boti jsou navrženi tak, aby využili čas mezi okamžikem, kdy obdržíte jednorázové heslo, a chvílí, kdy ho zadáte do aplikace nebo na web. Tento časový úsek bývá často kratší než minuta.

Kyberzločinci obvykle zachycují kód třemi způsoby:

Převzetí účtu pomocí OTP bota prostřednictvím sociálního inženýrství

    Útočník použije ukradené nebo uniklé přihlašovací údaje ke spuštění kroku OTP na legitimním webu. Bot vás poté kontaktuje prostřednictvím SMS nebo telefonního hovoru a použije skript navržený tak, aby vyvolal pocit naléhavosti – například vydáváním se za oddělení banky pro odhalování podvodů. Pokud OTP nasdílíte, bot ho v reálném čase předá útočníkovi, čímž mu umožní přístup k vašemu účtu. Útočník pak může změnit přihlašovací údaje a zablokovat vám přístup.

    Převzetí účtu pomocí OTP bota prostřednictvím zachycení

      S využitím ukradených přihlašovacích údajů ke spuštění OTP se bot pokouší zachytit kód dříve, než k vám dorazí. Mezi běžné metody patří:

      • Útok typu SIM swap: Útočník přesvědčí mobilního operátora, aby převedl vaše telefonní číslo na SIM kartu, kterou má pod kontrolou, takže SMS kódy jsou doručovány přímo jemu. 
      • Zneužití API: Bot se zaměřuje na nedostatečně zabezpečená ověřovací API, aby zachytil generované kódy OTP. 
      • Útok hrubou silou (brute force): Útočník zkouší všechny možné kombinace krátkých číselných OTP, což je možné v případě, že vámi používaný web nebo aplikace nemá nastavený limit pro opakované pokusy.

      Převzetí účtu pomocí OTP bota prostřednictvím útoku typu relay

        Tato varianta nespoléhá na ukradené přihlašovací údaje. Místo toho vás přiměje k tomu, abyste útočníkovi poskytli jak své přihlašovací údaje, tak i kód OTP. Ocitnete se na falešném webu, který vypadá jako ten skutečný, a zadáte své přihlašovací údaje. Bot tyto údaje okamžitě použije k přihlášení na skutečný web, což spustí odeslání kódu OTP na váš telefon. Falešný web vás následně požádá o zadání kódu, který bot v reálném čase předá na skutečný web. To útočníkovi umožní dokončit přihlášení dříve, než platnost kódu vyprší.

        Stejně jako u ostatních variant pak útočník může změnit přihlašovací údaje a zablokovat vám přístup k vašemu účtu.

        Jak může OTP bot ovlivnit vaše podnikání

        Snadná dostupnost služeb OTP botů pravděpodobně povede ke zvýšení počtu útoků na firmy. Přestože jsou běžným cílem bankovnictví a e-shopy, postiženo může být jakékoli odvětví. Malé a střední podniky (SMB) bývají terčem útoků častěji(nové okno).

        Finanční ztráty mohou být značné, ale nejsou jediným rizikem, které byste měli zvážit.

        Ačkoliv mohou být finanční ztráty pro organizaci velmi škodlivé, nejsou jedinou ztrátou, která by měla majitele firem znepokojovat.

        Ztráta důvěry zákazníků

        Důvěra zákazníků po úniku dat(nové okno) často klesá. Studie z roku 2024 od společnosti Vercara(nové okno) zjistila, že 58 % spotřebitelů považuje dotčené značky za nedůvěryhodné a 70 % by po bezpečnostním incidentu přestalo u dané značky nakupovat.

        Rizika spojená s dodržováním předpisů

        I když nedojde k odcizení žádných finančních prostředků, vaše firma může čelit pokutám za nesplnění požadavků na ochranu osobních údajů. Například obecné nařízení o ochraně osobních údajů (GDPR) se vztahuje na jakoukoli organizaci, která zpracovává osobní údaje obyvatel EU, bez ohledu na její umístění nebo velikost společnosti. Sankce za nedodržení předpisů mohou být značné.

        Jak chránit své podnikání před OTP boty

        Vzhledem k tomu, že lidská chyba je tím, proti čemu se chrání nejhůře, měly by firmy zavést co nejvíce technických opatření. Ta mohou zahrnovat:

        Omezení frekvence a regulace požadavků

        Omezte počet požadavků na jednorázový přístupový kód (OTP), které lze provést z jedné IP adresy, telefonního čísla nebo účtu v definovaném časovém rámci. Zabráníte tak útočníkům v zahlcení vašich systémů automatizovanými požadavky.

        CAPTCHA a behaviorální analýza

        Při výskytu podezřelé aktivity používejte testy CAPTCHA a aplikujte behaviorální analýzu k detekci jiných než lidských vzorců chování, jako je rychlé odesílání formulářů nebo nereálné pohyby myší.

        Otisk zařízení

        Sledujte charakteristiky zařízení, abyste identifikovali opakované narušitele a označili zařízení, která odesílají vícenásobné požadavky na OTP napříč různými účty.

        Vícefaktorové ověření nad rámec OTP

        Přidejte silnější metody ověření, jako jsou hardwarové bezpečnostní klíče, biometrické ověření nebo vyskakovací oznámení, abyste snížili závislost na samotném OTP.

        Zpevnění zabezpečení API

        Chraňte svá OTP API vyžadováním ověření, podepisováním požadavků, validací vstupů a používáním zabezpečených komunikačních kanálů, abyste zabránili zachycení nebo manipulaci.

        Sledování a detekce

        Sledujte vzorce používání a identifikujte neobvyklé chování, které může značit aktivitu botů. Používejte upozornění v reálném čase k zachycení nárůstů požadavků na OTP nebo neočekávaných geografických přístupů. Pravidelně kontrolujte logy pro včasné odhalení hrozeb.

        Jak se chránit před OTP boty

        OTP boti mohou být nebezpeční, ale můžete podniknout jednoduché kroky k ochraně svých účtů.

        Používejte silná, unikátní hesla nebo přístupové klíče

        Používejte firemní správce hesel ke generování a ukládání unikátních přihlašovacích údajů pro každý účet. Pokud je to možné, používejte přístupové klíče, které odstraňují potřebu jednorázových hesel (OTP).

        Používejte hardwarový bezpečnostní klíč

        Fyzické bezpečnostní klíče, jako je YubiKey, poskytují silnou ochranu před automatizovanými útoky, protože vyžadují fyzický přístup k vašemu zařízení.

        Dávejte pozor na pokusy o phishing

        Buďte obezřetní vůči nevyžádaným zprávám, které vyžadují ověřovací kódy. OTP je určen k zadání na webu nebo v aplikaci, nikoli ke sdílení s kýmkoli.

        Sledujte aktivitu svého účtu

        Pravidelně kontrolujte historii přihlášení a nastavení účtu, zda nedochází k neobvyklé aktivitě.

        Místo SMS používejte ověřovací aplikaci

        Jednorázová hesla s omezenou platností (TOTP) — kódy generované ověřovací aplikací — jsou bezpečnější než OTP zasílaná prostřednictvím SMS, která mohou být zachycena pomocí útoků typu SIM-swapping.

        Správná hygiena hesel je vaší první linií obrany

        Kombinace silného technického zabezpečení a správné hygieny přihlašovacích údajů výrazně přispívá k ochraně před útočníky.

        Firemní správce hesel je jedním z nejjednodušších a nejúčinnějších nástrojů, které můžete použít — zajišťuje, že zaměstnanci nepoužívají opakovaně slabá hesla u různých účtů, což je přesně ten typ zranitelnosti, k jejímuž zneužití jsou OTP boti navrženi.

        Propojte jej s metodami ověření odolnými proti phishingu a kulturou bezpečnostního povědomí a uděláte ze své firmy mnohem obtížnější cíl.