Os códigos de acesso de utilização única (OTPs) são uma parte fundamental da autenticação de dois fatores (2FA) e da autenticação multifator (MFA) tradicionais.

Se iniciar sessão numa conta ou verificar uma transação, irá recebê-los por e-mail, SMS ou aplicações de autenticação para confirmar a sua identidade.

Agora, os cibercriminosos encontraram uma forma de contornar estas proteções utilizando bots de OTP.

O que é um bot de OTP?

Um bot de OTP é um programa de software automatizado que interceta ou rouba códigos de acesso de utilização única usados para verificar a sua identidade. O objetivo é obter o controlo da sua conta no que é conhecido como um ataque de apropriação de conta (ou ATO).

Os cibercriminosos podem comprar ataques de bots de OTP em mercados clandestinos, frequentemente através do Telegram, por apenas 10 $ por ataque. Esta abordagem escalável e de baixo custo permite que os atacantes atinjam muitas pessoas ao mesmo tempo com o mínimo esforço.

Como funcionam os bots de OTP

Os bots de OTP são concebidos para explorar o tempo entre o momento em que recebe uma palavra-passe de utilização única e o momento em que a introduz na aplicação ou sítio web. Este intervalo de tempo é frequentemente inferior a um minuto.

Os cibercriminosos normalmente intercetam o código de três formas:

Apropriação de conta por bot de OTP através de engenharia social

    O atacante utiliza credenciais roubadas ou expostas para acionar o passo de OTP num sítio legítimo. Em seguida, um bot entra em contacto consigo por SMS ou chamada telefónica, utilizando um script concebido para criar urgência — por exemplo, fazendo-se passar pela equipa de fraude de um banco. Se partilhar o OTP, o bot transmite-o ao atacante em tempo real, concedendo-lhe acesso à sua conta. O atacante pode então alterar as credenciais de início de sessão e bloquear o seu acesso.

    Apropriação de conta por bot de OTP através de interceção

      Utilizando credenciais roubadas para acionar o OTP, o bot tenta intercetar o código antes que este chegue até si. Os métodos comuns incluem:

      • Ataque de troca de SIM (SIM swap): O atacante convence uma operadora móvel a transferir o seu número de telefone para um cartão SIM que controla, para que os códigos de SMS lhe sejam entregues diretamente. 
      • Exploração de API: O bot visa APIs de autenticação mal protegidas para capturar OTPs à medida que são gerados. 
      • Força bruta: O atacante tenta todas as combinações possíveis de OTPs numéricos curtos, o que é possível quando o sítio web ou a aplicação que está a utilizar não definiu um limite para pedidos repetidos.

      Apropriação de conta por bot de OTP através de ataque de retransmissão (relay)

        Esta variante não se baseia em credenciais roubadas. Em vez disso, engana-o para que forneça a um atacante tanto os seus dados de início de sessão como o seu OTP. Acede a um sítio web falso que se parece com o verdadeiro e introduz as suas credenciais. O bot utiliza imediatamente essas credenciais para iniciar sessão no sítio web real, o que aciona o envio de um OTP para o seu telemóvel. O sítio web falso pede-lhe então que introduza o código, que o bot retransmite para o sítio web real em tempo real. Isto permite ao atacante concluir o início de sessão antes que o código expire.

        Tal como nas outras variantes, o atacante pode então alterar as credenciais e bloquear o seu acesso à sua conta.

        Como um bot de OTP pode afetar o seu negócio

        A facilidade de obtenção de serviços de bots de OTP provavelmente aumentará os ataques a empresas. Embora a banca e o comércio eletrónico sejam alvos comuns, qualquer setor pode ser afetado. As pequenas e médias empresas (PMEs) são frequentemente visadas com maior frequência(nova janela).

        As perdas financeiras podem ser significativas, mas não são o único risco que deve considerar.

        Por mais prejudiciais que as perdas financeiras possam ser para uma organização, essa não é a única perda que deve preocupar os proprietários de empresas.

        Perda de confiança do cliente

        A confiança do cliente diminui frequentemente após uma violação de dados(nova janela). Um estudo de 2024 da Vercara(nova janela) revelou que 58% dos consumidores consideram as marcas afetadas pouco confiáveis, e 70% deixariam de comprar numa marca após um incidente de segurança.

        Riscos de conformidade regulamentar

        Mesmo que não sejam roubados fundos, o seu negócio pode enfrentar multas por não cumprir os requisitos de proteção de dados. Por exemplo, o Regulamento Geral sobre a Proteção de Dados (RGPD) aplica-se a qualquer organização que processe os dados pessoais de residentes na UE, independentemente da localização ou do tamanho da empresa. As penalizações por incumprimento podem ser substanciais.

        Como proteger o seu negócio contra bots de OTP

        Dado que o erro humano é o elemento mais difícil de proteger, as empresas devem implementar o maior número possível de salvaguardas técnicas. Estas podem incluir:

        Limitação de taxa e throttling

        Limitar o número de pedidos de códigos de acesso de utilização única (OTP) que podem ser feitos a partir de um único endereço IP, número de telefone ou conta num determinado período de tempo. Isto evita que os atacantes inundem os seus sistemas com pedidos automatizados.

        CAPTCHA e análise comportamental

        Utilizar desafios CAPTCHA quando surgir atividade suspeita e aplicar a análise comportamental para detetar padrões não humanos, tais como submissões rápidas de formulários ou movimentos irrealistas do rato.

        Fingerprinting de dispositivos

        Rastrear as características do dispositivo para identificar infratores recorrentes e sinalizar dispositivos que efetuam múltiplos pedidos de OTP em diferentes contas.

        Autenticação multifator além do OTP

        Adicione métodos de autenticação mais fortes, tais como chaves de segurança físicas, verificação biométrica ou notificações push, para reduzir a dependência exclusiva do OTP.

        Reforço da segurança de APIs

        Proteja as suas APIs de OTP ao exigir autenticação, assinar pedidos, validar dados introduzidos e utilizar canais de comunicação seguros para evitar a interceção ou manipulação.

        Monitorização e deteção

        Monitorize os padrões de utilização para identificar comportamentos invulgares que possam indicar atividade de bots. Utilize alertas em tempo real para detetar picos nos pedidos de OTP ou acessos geográficos inesperados. Reveja os registos regularmente para detetar ameaças precocemente.

        Como se proteger de bots de OTP

        Os bots de OTP podem ser perigosos, mas pode tomar medidas simples para proteger as suas contas.

        Utilize palavras-passe fortes e únicas ou chaves de acesso

        Utilize um gestor de palavras-passe para empresas para gerar e armazenar credenciais únicas para cada conta. Se possível, utilize chaves de acesso, que removem a necessidade de palavras-passe de uso único (OTPs).

        Utilize uma chave de segurança física

        As chaves de segurança físicas, como a YubiKey, oferecem uma forte proteção contra ataques automatizados porque exigem o acesso físico ao seu dispositivo.

        Fique atento a tentativas de phishing

        Tenha cuidado com mensagens não solicitadas que peçam códigos de verificação. Um OTP deve ser introduzido num sítio web ou aplicação, e não partilhado com ninguém.

        Monitorize a atividade da sua conta

        Verifique regularmente o histórico de início de sessão e as definições de conta para detetar atividades invulgares.

        Utilize uma aplicação de autenticação em vez de SMS

        As palavras-passe de uso único baseadas no tempo (TOTP) — códigos gerados por uma aplicação de autenticação — são mais seguras do que os OTPs baseados em SMS, que podem ser intercetados através de ataques de SIM-swapping.

        Uma boa higiene de palavras-passe é a sua primeira linha de defesa

        Combinar salvaguardas técnicas fortes com uma boa higiene de credenciais é meio caminho andado para manter os atacantes afastados.

        Um gestor de palavras-passe para empresas é uma das ferramentas mais simples e eficazes que pode utilizar — garante que os colaboradores não reutilizam palavras-passe fracas em várias contas, que é exatamente o tipo de vulnerabilidade que os bots de OTP foram concebidos para explorar.

        Combine-o com métodos de autenticação resistentes a phishing e uma cultura de sensibilização para a segurança, e tornará a sua empresa um alvo muito mais difícil.