Jednorazowe kody dostępu (OTPs) stanowią kluczowy element tradycyjnego uwierzytelniania dwustopniowego (2FA) i uwierzytelniania wieloskładnikowego (MFA).

Gdy logujesz się na konto lub weryfikujesz transakcję, otrzymasz je wiadomością e-mail, SMS-em lub w aplikacji uwierzytelniającej, aby potwierdzić swoją tożsamość.

Teraz cyberprzestępcy znaleźli sposób na obejście tych zabezpieczeń za pomocą botów OTP.

Czym jest bot OTP?

Bot OTP to zautomatyzowane oprogramowanie, które przechwytuje lub kradnie jednorazowe kody służące do weryfikacji Twojej tożsamości. Celem jest przejęcie kontroli nad Twoim kontem w ramach ataku polegającego na przejęciu konta (tzw. ATO).

Cyberprzestępcy mogą kupić ataki botów OTP na podziemnych rynkach, często za pośrednictwem Telegrama, już za 10 USD za atak. To niedrogie i skalowalne podejście pozwala napastnikom brać na cel wiele osób jednocześnie przy minimalnym wysiłku.

Jak działają boty OTP

Boty OTP są zaprojektowane tak, aby wykorzystać czas między otrzymaniem jednorazowego hasła a wpisaniem go w aplikacji lub na stronie internetowej. To okienko czasowe trwa często krócej niż minutę.

Cyberprzestępcy zazwyczaj przechwytują kod na trzy sposoby:

Przejęcie konta przez bota OTP przy użyciu socjotechniki

    Atakujący używa skradzionych lub wyciekłych danych logowania, aby wywołać krok OTP na legalnej stronie. Następnie bot kontaktuje się z Tobą przez SMS lub telefonicznie, korzystając ze skryptu mającego na celu wywarcie presji czasu — na przykład podszywając się pod zespół ds. walki z oszustwami w banku. Jeśli udostępnisz kod OTP, bot przekaże go atakującemu w czasie rzeczywistym, dając mu dostęp do Twojego konta. Atakujący może wtedy zmienić dane logowania i zablokować Ci dostęp.

    Przejęcie konta przez bota OTP poprzez przechwycenie

      Używając skradzionych danych logowania do wywołania OTP, bot próbuje przechwycić kod, zanim do Ciebie dotrze. Typowe metody to:

      • Atak SIM swap: Atakujący przekonuje operatora sieci komórkowej do przeniesienia Twojego numeru telefonu na kontrolowaną przez niego kartę SIM, dzięki czemu kody SMS są dostarczane bezpośrednio do niego. 
      • Wykorzystanie interfejsów API: Bot bierze na cel słabo zabezpieczone interfejsy API uwierzytelniania, aby przechwytywać kody OTP w momencie ich generowania. 
      • Atak brute force: Atakujący wypróbowuje wszystkie możliwe kombinacje krótkich cyfrowych kodów OTP, co jest możliwe, gdy strona internetowa lub aplikacja, z której korzystasz, nie ustawiła limitu powtarzanych żądań.

      Przejęcie konta przez bota OTP poprzez atak przekaźnikowy (relay attack)

        Ten wariant nie opiera się na skradzionych danych logowania. Zamiast tego nakłania Cię do przekazania atakującemu zarówno danych logowania, jak i kodu OTP. Trafiasz na fałszywą stronę internetową, która wygląda jak prawdziwa, i wpisujesz swoje dane logowania. Bot natychmiast używa tych danych logowania, aby zalogować się na prawdziwej stronie internetowej, co powoduje wysłanie kodu OTP na Twój telefon. Fałszywa strona internetowa prosi Cię wtedy o wpisanie kodu, który bot przekazuje na prawdziwą stronę w czasie rzeczywistym. Pozwala to atakującemu dokończyć logowanie, zanim kod wygaśnie.

        Podobnie jak w przypadku innych wariantów, atakujący może następnie zmienić dane logowania i zablokować Ci dostęp do konta.

        Jak bot OTP może wpłynąć na Twoją firmę

        Łatwość pozyskania usług botów OTP prawdopodobnie zwiększy liczbę ataków na firmy. Choć bankowość i e-commerce są częstymi celami, ucierpieć może każda branża. Małe i średnie przedsiębiorstwa (MŚP) są często atakowane częściej(nowe okno).

        Straty finansowe mogą być znaczne, ale nie jest to jedyne ryzyko, które należy wziąć pod uwagę.

        Choć straty finansowe mogą być dotkliwe dla organizacji, nie są one jedyną stratą, która powinna niepokoić właścicieli firm.

        Utrata zaufania klientów

        Zaufanie klientów często spada po wycieku danych(nowe okno). Badanie przeprowadzone w 2024 roku przez firmę Vercara(nowe okno) wykazało, że 58% konsumentów uważa dotknięte tym problemem marki za niewiarygodne, a 70% przestałoby robić zakupy u danej marki po incydencie związanym z bezpieczeństwem.

        Ryzyko braku zgodności z przepisami

        Nawet jeśli żadne środki nie zostaną skradzione, Twoja firma może zostać ukarana grzywną za niespełnienie wymogów dotyczących ochrony danych. Na przykład Ogólne rozporządzenie o ochronie danych (RODO/GDPR) dotyczy każdej organizacji, która przetwarza dane osobowe mieszkańców UE, bez względu na jej lokalizację czy wielkość firmy. Kary za nieprzestrzeganie przepisów mogą być znaczne.

        Jak chronić swoją firmę przed botami OTP

        Biorąc pod uwagę, że błąd ludzki jest najtrudniejszy do wyeliminowania, firmy powinny wdrożyć jak najwięcej zabezpieczeń technicznych. Mogą one obejmować:

        Ograniczanie liczby żądań (rate limiting i throttling)

        Ogranicz liczbę żądań jednorazowych kodów dostępu (OTP), jakie można przesłać z jednego adresu IP, numeru telefonu lub konta w określonym czasie. Zapobiega to zalewaniu Twoich systemów automatycznymi żądaniami przez atakujących.

        CAPTCHA i analiza behawioralna

        Stosuj weryfikację CAPTCHA, gdy pojawi się podejrzana aktywność, i korzystaj z analizy behawioralnej, aby wykrywać wzorce inne niż ludzkie, takie jak błyskawiczne przesyłanie formularzy lub nienaturalne ruchy myszką.

        Identyfikacja urządzeń (device fingerprinting)

        Śledź charakterystykę urządzeń, aby identyfikować powracających sprawców i flagować urządzenia wysyłające wiele żądań OTP z różnych kont.

        Uwierzytelnianie wieloskładnikowe poza OTP

        Dodaj silniejsze metody uwierzytelniania, takie jak sprzętowe klucze bezpieczeństwa, weryfikacja biometryczna lub powiadomienia push, aby zmniejszyć zależność od samego OTP.

        Wzmacnianie zabezpieczeń interfejsu API

        Chroń swoje interfejsy API OTP, wymagając uwierzytelniania, podpisując żądania, weryfikując dane wejściowe i korzystając z bezpiecznych kanałów komunikacji, aby zapobiec przechwyceniu lub manipulacji.

        Monitoring i wykrywanie

        Monitoruj wzorce użytkowania, aby zidentyfikować nietypowe zachowania, które mogą wskazywać na aktywność botów. Używaj alertów w czasie rzeczywistym, aby wychwytywać nagłe wzrosty liczby żądań OTP lub nieoczekiwany dostęp geograficzny. Regularnie przeglądaj logi, aby wcześnie wykrywać zagrożenia.

        Jak chronić się przed botami OTP

        Boty OTP mogą być niebezpieczne, ale możesz podjąć proste kroki, aby chronić swoje konta.

        Używaj silnych, unikalnych haseł lub kluczy dostępu

        Używaj biznesowego menadżera haseł do generowania i przechowywania unikalnych danych logowania dla każdego konta. Jeśli to możliwe, korzystaj z kluczy dostępu, które eliminują potrzebę stosowania haseł jednorazowych (OTP).

        Używaj sprzętowego klucza bezpieczeństwa

        Fizyczne klucze bezpieczeństwa, takie jak YubiKey, zapewniają silną ochronę przed zautomatyzowanymi atakami, ponieważ wymagają fizycznego dostępu do Twojego urządzenia.

        Uważaj na próby wyłudzenia informacji

        Uważaj na niezamówione wiadomości z prośbą o kody weryfikacyjne. Kod OTP ma być wpisywany na stronie internetowej lub w aplikacji, a nie udostępniany komukolwiek.

        Monitoruj aktywność na swoim koncie

        Regularnie sprawdzaj historię logowania i ustawienia konta pod kątem nietypowej aktywności.

        Używaj aplikacji uwierzytelniającej zamiast SMS-ów

        Hasła jednorazowe oparte na czasie (TOTP) — kody generowane przez aplikację uwierzytelniającą — są bezpieczniejsze niż kody OTP przesyłane przez SMS, które mogą zostać przechwycone w wyniku ataków typu SIM-swapping.

        Właściwa higiena haseł to Twoja pierwsza linia obrony

        Połączenie silnych zabezpieczeń technicznych z właściwą higieną danych logowania znacznie ułatwia powstrzymanie atakujących.

        Biznesowy menadżer haseł to jedno z najprostszych i najskuteczniejszych narzędzi, z jakich możesz korzystać — gwarantuje, że pracownicy nie używają ponownie słabych haseł na różnych kontach, a to dokładnie ten rodzaj podatności, do wykorzystywania której zostały zaprojektowane boty OTP.

        Połącz to z metodami uwierzytelniania odpornymi na phishing oraz kulturą świadomości bezpieczeństwa, a sprawisz, że Twoja firma stanie się znacznie trudniejszym celem.