Eenmalige toegangscodes (OTP’s) vormen een essentieel onderdeel van traditionele tweestapsverificatie (2FA) en multifactorverificatie (MFA).

Als u zich aanmeldt bij een account of een transactie verifieert, ontvangt u deze via e-mail, SMS of authenticatie-apps om uw identiteit te bevestigen.

Nu hebben cybercriminelen een manier gevonden om deze beveiligingen te omzeilen met behulp van OTP-bots.

Wat is een OTP-bot?

Een OTP-bot is een geautomatiseerd softwareprogramma dat eenmalige toegangscodes onderschept of steelt die worden gebruikt om uw identiteit te verifiëren. Het doel is om de controle over uw account over te nemen in wat bekendstaat als een accountovername-aanval (of ATO).

Cybercriminelen kunnen OTP-bot-aanvallen kopen op ondergrondse marktplaatsen, vaak via Telegram, voor slechts $ 10 per aanval. Dankzij deze goedkope, schaalbare aanpak kunnen aanvallers met minimale inspanning veel mensen tegelijk als doelwit kiezen.

Hoe OTP-bots werken

OTP-bots zijn ontworpen om misbruik te maken van de tijd tussen het moment waarop u een eenmalig wachtwoord ontvangt en het moment waarop u dit invoert in de app of website. Dit tijdsbestek is vaak korter dan een minuut.

Cybercriminelen onderscheppen de code doorgaans op drie manieren:

Accountovername door een OTP-bot via social engineering

    De aanvaller gebruikt gestolen of gelekte inloggegevens om de OTP-stap op een legitieme site te activeren. Een bot neemt vervolgens contact met u op via SMS of een telefoontje, met behulp van een script dat is ontworpen om urgentie te creëren — bijvoorbeeld door zich voor te doen als het fraudeteam van een bank. Als u de OTP deelt, stuurt de bot deze in realtime door naar de aanvaller, waardoor deze toegang krijgt tot uw account. De aanvaller kan vervolgens de inloggegevens wijzigen en u buitensluiten.

    Accountovername door een OTP-bot via onderschepping

      Door gestolen inloggegevens te gebruiken om de OTP te activeren, probeert de bot de code te onderscheppen voordat deze u bereikt. Veelvoorkomende methoden zijn onder meer:

      • Sim-swap-aanval: de aanvaller overtuigt een mobiele provider om uw telefoonnummer over te zetten naar een simkaart die zij beheren, zodat SMS-codes rechtstreeks naar hen worden verzonden. 
      • API-exploitatie: de bot richt zich op slecht beveiligde verificatie-API’s om OTP’s te onderscheppen op het moment dat ze worden gegenereerd. 
      • Brute force: de aanvaller probeert alle mogelijke combinaties van korte numerieke OTP’s, wat mogelijk is wanneer de website of app die u gebruikt geen limiet heeft ingesteld voor herhaalde verzoeken.

      Accountovername door een OTP-bot via een relay-aanval

        Deze variant is niet gebaseerd op gestolen inloggegevens. In plaats daarvan wordt u misleid om een aanvaller zowel uw inloggegevens als uw OTP te geven. U komt terecht op een namaakwebsite die eruitziet als de echte website en voert uw inloggegevens in. De bot gebruikt die inloggegevens onmiddellijk om zich aan te melden bij de echte website, waardoor er een OTP naar uw telefoon wordt verzonden. De namaakwebsite vraagt u vervolgens om de code in te voeren, die de bot in realtime doorgeeft aan de echte website. Hierdoor kan de aanvaller de aanmelding voltooien voordat de code verloopt.

        Net als bij de andere varianten kan de aanvaller vervolgens de inloggegevens wijzigen en u buitensluiten van uw account.

        Hoe een OTP-bot uw bedrijf kan beïnvloeden

        Het gemak waarmee OTP-botdiensten kunnen worden verkregen, zal waarschijnlijk leiden tot meer aanvallen op bedrijven. Hoewel het bankwezen en e-commerce veelvoorkomende doelwitten zijn, kan elke sector worden getroffen. Kleine en middelgrote bedrijven (mkb) worden vaak vaker als doelwit gekozen(nieuw venster).

        Financiële verliezen kunnen aanzienlijk zijn, maar ze zijn niet het enige risico dat u moet overwegen.

        Hoe schadelijk financiële verliezen ook kunnen zijn voor een organisatie, dat is niet het enige verlies waar bedrijfseigenaren zich zorgen over moeten maken.

        Verlies van klantvertrouwen

        Het klantvertrouwen daalt vaak na een datalek(nieuw venster). Uit een onderzoek uit 2024 door Vercara(nieuw venster) bleek dat 58% van de consumenten de getroffen merken als onbetrouwbaar beschouwt, en 70% zou stoppen met winkelen bij een merk na een beveiligingsincident.

        Risico’s op het gebied van naleving van de regelgeving

        Zelfs als er geen geld wordt gestolen, kan uw bedrijf boetes krijgen als u niet voldoet aan de vereisten voor gegevensbescherming. De Algemene verordening gegevensbescherming (AVG) is bijvoorbeeld van toepassing op elke organisatie die de persoonlijke gegevens van EU-inwoners verwerkt, ongeacht de locatie of de grootte van het bedrijf. De boetes voor niet-naleving kunnen aanzienlijk zijn.

        Hoe u uw bedrijf kunt beschermen tegen OTP-bots

        Aangezien menselijke fouten het moeilijkst zijn om tegen te beschermen, moeten bedrijven zoveel mogelijk technische veiligheidsmaatregelen implementeren. Deze kunnen het volgende omvatten:

        Rate-limiting en throttling

        Beperk het aantal verzoeken om een eenmalige toegangscode (OTP) dat binnen een bepaald tijdsbestek kan worden gedaan vanaf een enkel IP-adres, telefoonnummer of account. Dit voorkomt dat aanvallers uw systemen overspoelen met geautomatiseerde verzoeken.

        CAPTCHA en gedragsanalyse

        Gebruik CAPTCHA-tests wanneer er verdachte activiteit optreedt en pas gedragsanalyse toe om niet-menselijke patronen te detecteren, zoals het snel indienen van formulieren of onrealistische muisbewegingen.

        Apparaat-fingerprinting

        Volg apparaatkenmerken om herhaalde daders te identificeren en markeer apparaten die meerdere OTP-verzoeken indienen voor verschillende accounts.

        Multifactorverificatie die verder gaat dan OTP

        Voeg sterkere verificatiemethoden toe, zoals fysieke beveiligingssleutels, biometrische verificatie of pushmeldingen, om de afhankelijkheid van alleen OTP te verminderen.

        API-beveiliging aanscherpen

        Bescherm uw OTP-API’s door verificatie te vereisen, verzoeken te ondertekenen, invoer te valideren en veilige communicatiekanalen te gebruiken om onderschepping of manipulatie te voorkomen.

        Monitoren en detectie

        Monitor gebruikspatronen om ongebruikelijk gedrag te identificeren dat kan wijzen op botactiviteit. Gebruik realtime waarschuwingen om pieken in OTP-aanvragen of onverwachte geografische toegang op te merken. Bekijk logboeken regelmatig om bedreigingen vroegtijdig te detecteren.

        Hoe u uzelf kunt beschermen tegen OTP-bots

        OTP-bots kunnen gevaarlijk zijn, maar u kunt eenvoudige stappen ondernemen om uw accounts te beschermen.

        Gebruik sterke, unieke wachtwoorden of passkeys

        Gebruik een zakelijke wachtwoordbeheerder om unieke inloggegevens voor elk account te genereren en op te slaan. Gebruik indien mogelijk passkeys, waardoor eenmalige wachtwoorden (OTP’s) niet meer nodig zijn.

        Gebruik een fysieke beveiligingssleutel

        Fysieke beveiligingssleutels, zoals YubiKey, bieden sterke bescherming tegen geautomatiseerde aanvallen omdat ze fysieke toegang tot uw apparaat vereisen.

        Pas op voor phishingpogingen

        Wees voorzichtig met ongevraagde berichten waarin om verificatiecodes wordt gevraagd. Een OTP is bedoeld om te worden ingevoerd op een website of in een app, en niet om met anderen te worden gedeeld.

        Controleer uw accountactiviteit

        Controleer de inloggeschiedenis en accountinstellingen regelmatig op ongebruikelijke activiteit.

        Gebruik een authenticatie-app in plaats van SMS

        Time-based one-time passwords (TOTP) — codes gegenereerd door een authenticatie-app — zijn veiliger dan op SMS gebaseerde OTP’s, die kunnen worden onderschept via sim-swapping-aanvallen.

        Goede wachtwoordhygiëne is uw eerste verdedigingslinie

        Het combineren van sterke technische beveiligingen met een goede hygiëne van inloggegevens helpt enorm om aanvallers buiten de deur te houden.

        Een zakelijke wachtwoordbeheerder is een van de eenvoudigste en meest effectieve hulpmiddelen die u kunt gebruiken — het zorgt ervoor dat werknemers geen zwakke wachtwoorden hergebruiken voor verschillende accounts, wat precies het soort kwetsbaarheid is dat OTP-bots proberen te misbruiken.

        Combineer dit met phishing-bestendige verificatiemethoden en een cultuur van beveiligingsbewustzijn, en u maakt van uw bedrijf een veel moeilijker doelwit.