Engangsadgangskoder (OTP’er) er en central del af traditionel to-faktor-godkendelse (2FA) og multi-faktor-godkendelse (MFA).

Når De logger ind på en konto eller bekræfter en transaktion, modtager De dem via e-mail, SMS eller godkender-apps for at bekræfte Deres identitet.

Nu har cyberkriminelle fundet en måde at omgå disse beskyttelser på ved hjælp af OTP-botter.

Hvad er en OTP-bot?

En OTP-bot er et automatiseret softwareprogram, der opsnapper eller stjæler engangsadgangskoder, som bruges til at bekræfte Deres identitet. Målet er at få kontrol over Deres konto i det, der kaldes et kontoovertagelsesangreb (eller ATO).

Cyberkriminelle kan købe OTP-botangreb på undergrundsmarkeder, ofte via Telegram, for helt ned til 10 USD pr. angreb. Denne billige og skalerbare tilgang gør det muligt for angribere at målrette sig mod mange mennesker på én gang med minimal indsats.

Sådan fungerer OTP-botter

OTP-botter er designet til at udnytte tiden fra De modtager en engangsadgangskode, til De indtaster den i appen eller på webstedet. Dette tidsvindue er ofte under et minut.

Cyberkriminelle opsnapper typisk koden på tre måder:

Kontoovertagelse via OTP-bot gennem social engineering

    Angriberen bruger stjålne eller lækkede legitimationsoplysninger til at udløser OTP-trinnet på et legitimt websted. En bot kontakter Dem derefter via SMS eller telefonopkald ved hjælp af et script, der er designet til at skabe en følelse af uopsættelighed – for eksempel ved at udgive sig for at være fra en banks svindelafdeling. Hvis De deler OTP’en, sender botten den videre til angriberen i realtid, hvilket giver dem adgang til Deres konto. Angriberen kan derefter ændre loginoplysningerne og låse Dem ude.

    Kontoovertagelse via OTP-bot gennem opsnapning

      Ved at bruge stjålne legitimationsoplysninger til at udløse OTP’en forsøger botten at opsnappe koden, før den når frem til Dem. Almindelige metoder omfatter:

      • SIM-bytte-angreb: Angriberen overbeviser et mobilselskab om at overføre Deres telefonnummer til et SIM-kort, de kontrollerer, så SMS-koder leveres direkte til dem. 
      • API-udnyttelse: Botten målretter sig mod dårligt sikrede godkendelses-API’er for at fange OTP’er, efterhånden som de genereres. 
      • Brute force: Angriberen prøver alle mulige kombinationer af korte, numeriske OTP’er, hvilket er muligt, hvis det websted eller den app, De bruger, ikke har fastsat en grænse for gentagne anmodninger.

      Kontoovertagelse via OTP-bot gennem relay-angreb

        Denne variant afhænger ikke af stjålne legitimationsoplysninger. I stedet snyder den Dem til at give en angriber både Deres loginoplysninger og Deres OTP. De lander på et falsk websted, der ligner det ægte, og indtaster Deres legitimationsoplysninger. Botten bruger straks disse legitimationsoplysninger til at logge ind på det ægte websted, hvilket udløser en OTP, der sendes til Deres telefon. Det falske websted beder Dem derefter om at indtaste koden, som botten videresender til det ægte websted i realtid. Dette gør det muligt for angriberen at fuldføre loginet, før koden udløber.

        Som med de andre varianter kan angriberen derefter ændre legitimationsoplysningerne og låse Dem ude af Deres konto.

        Sådan kan en OTP-bot påvirke Deres virksomhed

        Den nemme adgang til OTP-bottjenester vil sandsynligvis øge antallet af angreb på virksomheder. Selvom bankvirksomhed og e-handel er almindelige mål, kan enhver branche blive ramt. Små og mellemstore virksomheder (SMV’er) er ofte oftere mål for disse angreb(nyt vindue).

        Økonomiske tab kan være betydelige, men de er ikke den eneste risiko, De bør overveje.

        Selvom økonomiske tab kan være yderst skadelige for en organisation, er det ikke det eneste tab, der bør bekymre virksomhedsejere.

        Tab af kundetillid

        Kundetilliden falder ofte efter et databrud(nyt vindue). En undersøgelse fra 2024 foretaget af Vercara(nyt vindue) viste, at 58 % af forbrugerne anser de berørte brands for at være utroværdige, og 70 % ville stoppe med at handle hos et brand efter en sikkerhedshændelse.

        Risici for overholdelse af lovgivningen

        Selvom der ikke stjæles nogen midler, kan Deres virksomhed risikere bøder for ikke at opfylde kravene til databeskyttelse. For eksempel gælder databeskyttelsesforordningen (GDPR) for enhver organisation, der behandler personoplysninger om EU-borgere, uafhængigt af placering eller virksomhedsstørrelse. Sanktioner for manglende overholdelse kan være betydelige.

        Sådan beskytter De Deres virksomhed mod OTP-botter

        Da menneskelige fejl er det sværeste at beskytte sig imod, bør virksomheder implementere så mange tekniske sikkerhedsforanstaltninger som muligt. Disse kan omfatte:

        Hastighedsbegrænsning og throttling

        Begræns, hvor mange anmodninger om engangsadgangskoder (OTP) der kan foretages fra en enkelt IP-adresse, et telefonnummer eller en konto inden for en bestemt tidsramme. Dette forhindrer angribere i at oversvømme Deres systemer med automatiserede anmodninger.

        CAPTCHA og adfærdsanalyse

        Brug CAPTCHA-udfordringer, når der opstår mistænkelig aktivitet, og anvend adfærdsanalyse til at registrere ikke-menneskelige mønstre såsom hurtige formularindsendelser eller urealistiske musebevægelser.

        Enhedsfingeraftryk

        Spor enhedskarakteristika for at identificere tilbagevendende syndere og flage enheder, der foretager flere OTP-anmodninger på tværs af forskellige konti.

        Multifaktorgodkendelse ud over OTP

        Tilføj stærkere godkendelsesmetoder, såsom hardwaresikkerhedsnøgler, biometrisk verifikation eller push-notifikationer, for at reducere afhængigheden af OTP alene.

        API-sikkerhedshærdning

        Beskyt Deres OTP-API’er ved at kræve godkendelse, signere anmodninger, validere input og bruge sikre kommunikationskanaler for at forhindre aflytning eller manipulation.

        Overvågning og registrering

        Overvåg brugsmønstre for at identificere usædvanlig adfærd, der kan indikere bot-aktivitet. Brug realtidsadvarsler til at opfange stigninger i OTP-anmodninger eller uventet geografisk adgang. Gennemgå logfiler regelmæssigt for at opdage trusler tidligt.

        Sådan beskytter De Dem selv mod OTP-bots

        OTP-bots kan være farlige, men De kan tage enkle skridt for at beskytte Deres konti.

        Brug stærke, unikke adgangskoder eller adgangsnøgler

        Brug en adgangskodeadministrator til virksomheder til at generere og gemme unikke legitimationsoplysninger for hver konto. Brug om muligt adgangsnøgler, som fjerner behovet for engangsadgangskoder (OTP’er).

        Brug en hardwaresikkerhedsnøgle

        Fysiske sikkerhedsnøgler, såsom YubiKey, giver stærk beskyttelse mod automatiserede angreb, fordi de kræver fysisk adgang til Deres enhed.

        Hold øje med phishing-forsøg

        Vær forsigtig med uanmodede beskeder, der beder om bekræftelseskoder. En OTP er beregnet til at blive indtastet på et websted eller i en app, ikke til at blive delt med nogen.

        Overvåg Deres kontoaktivitet

        Kontroller regelmæssigt login-historik og kontoindstillinger for usædvanlig aktivitet.

        Brug en godkender-app i stedet for SMS

        Tidsbaserede engangsadgangskoder (TOTP) – koder genereret af en godkender-app – er mere sikre end SMS-baserede OTP’er, som kan opsnappes via SIM-swapping-angreb.

        God adgangskodehygiejne er Deres første forsvarslinje

        Kombinationen af stærke tekniske sikkerhedsforanstaltninger og god hygiejne for legitimationsoplysninger gør en stor forskel i forhold til at holde angribere ude.

        En adgangskodeadministrator til virksomheder er et af de enkleste og mest effektive værktøjer, De kan bruge – den sikrer, at medarbejdere ikke genbruger svage adgangskoder på tværs af konti, hvilket er præcis den form for sårbarhed, som OTP-bots er designet til at udnytte.

        Kombiner det med phishing-resistente godkendelsesmetoder og en kultur med sikkerhedsbevidsthed, og De gør Deres virksomhed til et meget sværere mål.