Kertakäyttöiset tunnuskoodit (OTP) ovat keskeinen osa perinteistä kaksivaiheista tunnistautumista (2FA) ja monivaiheista tunnistautumista (MFA).

Jos kirjaudutte sisään tilille tai vahvistatte maksutapahtuman, saatte ne sähköpostitse, SMS-viestillä tai tunnistautumissovelluksella henkilöllisyytenne vahvistamiseksi.

Nyt kyberrikolliset ovat löytäneet tavan ohittaa nämä suojaukset OTP-bottien avulla.

Mikä on OTP-botti?

OTP-botti on automaattinen ohjelmisto, joka kaappaa tai varastaa kertakäyttöisiä tunnukoodeja, joita käytetään henkilöllisyytenne vahvistamiseen. Tavoitteena on saada tilinne hallinta haltuun niin sanotulla tilikaappaushyökkäyksellä (account takeover attack eli ATO).

Kyberrikolliset voivat ostaa OTP-bottihyökkäyksiä pimeiltä markkinoilta, usein Telegramin kautta, niinkin alhaiseen hintaan kuin 10 dollaria hyökkäystä kohden. Tämä edullinen ja skaalautuva lähestymistapa antaa hyökkääjille mahdollisuuden ottaa kohteekseen monia ihmisiä kerralla vähäisellä vaivalla.

Miten OTP-botit toimivat

OTP-botit on suunniteltu hyödyntämään aikaa sen välillä, kun vastaanotatte kertakäyttöisen salasanan ja kun syötätte sen sovellukseen tai verkkosivustolle. Tämä aikaikkuna on usein alle minuutin.

Kyberrikolliset yleensä kaappaavat koodin kolmella tavalla:

OTP-botilla tehty tilikaappaus sosiaalisen manipuloinnin avulla

    Hyökkääjä käyttää varastettuja tai vuotaneita kirjautumistietoja käynnistääkseen OTP-vaiheen laillisella sivustolla. Botti ottaa sitten teihin yhteyttä SMS-viestillä tai puhelinsoitolla käyttäen skriptiä, joka on suunniteltu luomaan kiireen tuntu – esimerkiksi tekeytymällä pankin petostentorjuntatiimiksi. Jos jaatte OTP:n, botti välittää sen hyökkääjälle reaaliaikaisesti antaen tälle pääsyn tilillenne. Hyökkääjä voi sitten vaihtaa kirjautumistiedot ja estää pääsynne tilille.

    OTP-botilla tehty tilikaappaus tietojen kaappauksen avulla

      Käyttäen varastettuja kirjautumistietoja OTP:n käynnistämiseen, botti yrittää kaapata koodin ennen kuin se saavuttaa teidät. Yleisiä menetelmiä ovat:

      • SIM-kortin vaihtohyökkäys: Hyökkääjä suostuttelee matkapuhelinoperaattorin siirtämään puhelinnumeronne heidän hallitsemaansa SIM-korttiin, jolloin SMS-koodit lähetetään suoraan heille. 
      • API-rajapinnan hyödyntäminen: Botti kohdistuu heikosti suojattuihin tunnistautumisen API-rajapintoihin kaapatakseen OTP:t niiden luontihetkellä. 
      • Brute force (murtaminen kokeilemalla): Hyökkääjä kokeilee kaikkia mahdollisia lyhyiden numeeristen OTP:iden yhdistelmiä, mikä on mahdollista, kun käyttämänne verkkosivusto tai sovellus ei ole asettanut rajoitusta toistuville pyynnöille.

      OTP-botilla tehty tilikaappaus välityshyökkäyksen (relay attack) avulla

        Tämä muunnelma ei perustu varastettuihin kirjautumistietoihin. Sen sijaan se huijaa teidät antamaan hyökkääjälle sekä kirjautumistietonne että OTP-koodinne. Päädytte valesivustolle, joka näyttää oikealta, ja syötätte kirjautumistietonne. Botti käyttää näitä tietoja välittömästi kirjautuakseen oikealle verkkosivustolle, mikä käynnistää puhelimeenne lähetettävän OTP:n. Valesivusto pyytää sitten teitä syöttämään koodin, jonka botti välittää oikealle verkkosivustolle reaaliajassa. Tämän ansiosta hyökkääjä voi suorittaa kirjautumisen loppuun ennen koodin vanhenemista.

        Kuten muidenkin muunnelmien kohdalla, hyökkääjä voi sen jälkeen vaihtaa kirjautumistiedot ja estää pääsynne tilillenne.

        Miten OTP-botti voi vaikuttaa yritykseenne

        OTP-bottipalveluiden helppo saatavuus todennäköisesti lisää yrityksiin kohdistuvia hyökkäyksiä. Vaikka pankki- ja verkkokauppa-alat ovat yleisiä kohteita, mikä tahansa toimiala voi joutua kohteeksi. Pieniä ja keskisuuria yrityksiä (SMB-yritykset) otetaan usein kohteeksi useammin(uusi ikkuna).

        Taloudelliset menetykset voivat olla merkittäviä, mutta ne eivät ole ainoa riski, jota teidän tulisi harkita.

        Vaikka taloudelliset menetykset voivat olla vahingollisia organisaatiolle, se ei ole ainoa menetys, jonka pitäisi huolestuttaa yrityksen omistajia.

        Asiakkaiden luottamuksen menetys

        Asiakkaiden luottamus heikkenee usein tietomurron(uusi ikkuna) jälkeen. Vercaran vuonna 2024 tekemässä tutkimuksessa by Vercara(uusi ikkuna) havaittiin, että 58 % kuluttajista pitää kyseisiä brändejä epäluotettavina ja 70 % lopettaisi ostosten tekemisen brändiltä tietoturvaloukkauksen jälkeen.

        Sääntelyn noudattamiseen liittyvät riskit

        Vaikka varoja ei varastettaisi, yrityksenne voi kohdata sakkoja tietosuojavaatimusten laiminlyönnistä. Esimerkiksi yleistä tietosuoja-asetusta (GDPR) sovelletaan kaikkiin organisaatioihin, jotka käsittelevät EU:n asukkaiden henkilötietoja, riippumatta sijainnista tai yrityksen koosta. Laiminlyönneistä määrättävät seuraamukset voivat olla huomattavia.

        Miten suojata yrityksenne OTP-boteilta

        Koska inhimilliseltä virheeltä suojautuminen on vaikeinta, yritysten tulisi ottaa käyttöön mahdollisimman monta teknistä suojatoimenpidettä. Näitä voivat olla:

        Kyselymäärien rajoittaminen ja nopeudenrajoitus

        Rajoittakaa sitä, kuinka monta kertakäyttöisen tunnuskoodin (OTP) pyyntöä voidaan tehdä yhdestä IP-osoitteesta, puhelinnumerosta tai tilistä tietyn ajan kuluessa. Tämä estää hyökkääjiä tulvittamasta järjestelmiänne automaattisilla pyynnöillä.

        CAPTCHA ja käyttäytymisen analysointi

        Käyttäkää CAPTCHA-haasteita, kun epäilyttävää toimintaa ilmenee, ja soveltakaa käyttäytymisen analysointia muiden kuin ihmisten toimintamallien havaitsemiseksi, kuten lomakkeiden nopeaan lähettämiseen tai epärealistisiin hiiren liikkeisiin.

        Laitteen sormenjälkitunnistus

        Seuratkaa laitteen ominaisuuksia toistuvien sääntöjenrikkojien tunnistamiseksi ja merkitkää laitteet, jotka tekevät useita OTP-pyyntöjä eri tileiltä.

        Monivaiheinen tunnistautuminen OTP:n lisäksi

        Lisätkää vahvempia tunnistautumismenetelmiä, kuten fyysisiä suojausavaimia, biometristä vahvistusta tai push-ilmoituksia, jotta riippuvuus pelkästä OTP:stä vähenee.

        API-tietoturvan vahvistaminen

        Suojatkaa OTP-API:nne vaatimalla tunnistautumista, allekirjoittamalla pyynnöt, vahvistamalla syötteet ja käyttämällä suojattuja viestintäkanavia sieppauksen tai manipuloinnin estämiseksi.

        Valvonta ja havaitseminen

        Valvokaa käyttötapoja tunnistaaksenne epätavallisen käyttäytymisen, joka saattaa viitata bottitoimintaan. Käyttäkää reaaliaikaisia hälytyksiä havaitaksenne piikit OTP-pyynnöissä tai odottamattoman maantieteellisen pääsyn. Tarkistakaa lokit säännöllisesti havaitaksenne uhat ajoissa.

        Miten suojautua OTP-boteilta

        OTP-botit voivat olla vaarallisia, mutta voitte ryhtyä yksinkertaisiin toimiin tilienne suojaamiseksi.

        Käyttäkää vahvoja, yksilöllisiä salasanoja tai pääsyavaimia

        Käyttäkää yritysten salasananhallintaa luomaan ja tallentamaan yksilölliset kirjautumistiedot jokaiselle tilille. Jos mahdollista, käyttäkää pääsyavaimia, jotka poistavat kertakäyttöisten salasanojen (OTP) tarpeen.

        Käyttäkää fyysistä turva-avainta

        Fyysiset turva-avaimet, kuten YubiKey, tarjoavat vahvan suojan automaattisia hyökkäyksiä vastaan, koska ne vaativat fyysisen pääsyn laitteellenne.

        Varokaa tietojenkalasteluyrityksiä

        Suhtautukaa varovaisesti odottamattomiin viesteihin, joissa kysytään vahvistuskoodeja. OTP on tarkoitettu syötettäväksi verkkosivustolle tai sovellukseen, ei jaettavaksi kenenkään kanssa.

        Valvokaa tilinne tapahtumia

        Tarkistakaa kirjautumishistoria ja tilin asetukset säännöllisesti epätavallisen toiminnan varalta.

        Käyttäkää tunnistautumissovellusta SMS-viestin sijaan

        Aikapohjaiset kertakäyttösalasanat (TOTP) — eli tunnistautumissovelluksen luomat koodit — ovat turvallisempia kuin SMS-pohjaiset OTP-koodit, jotka voidaan kaapata SIM-kortin vaihtoon perustuvilla hyökkäyksillä.

        Hyvä salasanahygienia on ensimmäinen puolustuslinjanne

        Vahvojen teknisten suojatoimien ja hyvän kirjautumistietojen hygienian yhdistäminen auttaa pitkälle hyökkääjien pitämisessä loitolla.

        Yritysten salasananhallinta on yksi yksinkertaisimmista ja tehokkaimmista työkaluista, joita voitte käyttää — se varmistaa, etteivät työntekijät käytä heikkoja salasanoja uudelleen eri tileillä, mikä on juuri sellainen haavoittuvuus, jota OTP-botit on suunniteltu hyödyntämään.

        Kun yhdistätte siihen tietojenkalastelua kestävät tunnistautumismenetelmät ja tietoturvatietoisen kulttuurin, teette yrityksestänne paljon vaikeamman kohteen.