Одноразовые коды доступа (OTP) являются ключевой частью традиционной двухфакторной (2FA) и многофакторной аутентификации (MFA).
При входе в аккаунт или подтверждении транзакции вы получаете их по электронной почте, в СМС или в приложениях для аутентификации для подтверждения ваших личных данных.
Теперь киберпреступники нашли способ обходить эти средства защиты с помощью OTP-ботов.
Что такое OTP-бот?
OTP-бот — это автоматизированная программа, которая перехватывает или крадет одноразовые коды доступа, используемые для подтверждения ваших личных данных. Цель состоит в том, чтобы получить контроль над вашим аккаунтом в ходе так называемой атаки с захватом аккаунта (или ATO).
Киберпреступники могут покупать атаки с использованием OTP-ботов на теневых торговых площадках, часто через Telegram, всего за 10 долларов США за атаку. Этот недорогой и масштабируемый подход позволяет злоумышленникам атаковать множество людей одновременно с минимальными усилиями.
Как работают OTP-боты
OTP-боты разработаны для использования времени между тем, как вы получаете одноразовый пароль, и тем, как вы вводите его в приложении или на веб-сайте. Это окно времени часто составляет меньше минуты.
Киберпреступники обычно перехватывают код тремя способами:
Захват аккаунта с помощью OTP-бота методами социальной инженерии
Злоумышленник использует украденные или утекшие учетные данные, чтобы инициировать этап ввода OTP на легитимном сайте. Затем бот связывается с вами по СМС или телефону, используя скрипт, призванный вызвать ощущение срочности — например, выдавая себя за службу безопасности банка. Если вы делитесь OTP, бот передает его злоумышленнику в режиме реального времени, предоставляя ему доступ к вашему аккаунту. После этого злоумышленник может изменить учетные данные для входа и заблокировать вам доступ.
Захват аккаунта с помощью OTP-бота путем перехвата
Используя украденные учетные данные для запуска OTP, бот пытается перехватить код до того, как он дойдет до вас. Общие методы включают:
- Атака SIM swap: злоумышленник убеждает мобильного оператора перенести ваш номер телефона на подконтрольную ему SIM-карту, чтобы СМС-коды приходили прямо ему.
- Эксплуатация API: бот нацеливается на плохо защищенные API аутентификации, чтобы перехватывать OTP по мере их генерации.
- Брутфорс (полный перебор): злоумышленник пробует все возможные комбинации коротких цифровых OTP, что возможно, если веб-сайт или приложение, которое вы используете, не установили лимит на количество повторных запросов.
Захват аккаунта с помощью OTP-бота путем ретрансляционной атаки
Этот вариант не зависит от украденных учетных данных. Вместо этого он обманом заставляет вас передать злоумышленнику как информацию для входа, так и ваш OTP. Вы попадаете на поддельный веб-сайт, который выглядит как настоящий, и вводите свои учетные данные. Бот немедленно использует эти учетные данные для входа на настоящий веб-сайт, что инициирует отправку OTP на ваш телефон. Поддельный веб-сайт затем просит вас ввести код, который бот передает на настоящий веб-сайт в режиме реального времени. Это позволяет злоумышленнику завершить вход в систему до истечения срока действия кода.
Как и в других случаях, злоумышленник может затем изменить учетные данные и заблокировать вам доступ к вашему аккаунту.
Как OTP-бот может повлиять на ваш бизнес
Простота получения услуг OTP-ботов, вероятно, приведет к росту числа атак на бизнес. Хотя банковское дело и электронная коммерция являются частыми целями, пострадать может любая отрасль. Предприятия малого и среднего бизнеса (SMB) часто подвергаются атакам еще чаще(новое окно).
Финансовые потери могут быть значительными, но это не единственный риск, который вам следует учитывать.
Каким бы разрушительным ни был финансовый ущерб для организации, это не единственная потеря, которая должна беспокоить владельцев бизнеса.
Потеря доверия клиентов
Доверие клиентов часто падает после утечки данных(новое окно). Исследование 2024 года, проведенное компанией Vercara(новое окно), показало, что 58% потребителей считают пострадавшие бренды ненадежными, а 70% перестали бы делать покупки у бренда после инцидента с безопасностью.
Риски несоблюдения нормативных требований
Даже если средства не будут украдены, ваш бизнес может столкнуться со штрафами за невыполнение требований к защите данных. Например, Общий регламент по защите данных (GDPR) применяется к любой организации, обрабатывающей персональные данные резидентов ЕС, независимо от ее местоположения или размера компании. Штрафы за несоблюдение требований могут быть весьма существенными.
Как защитить свой бизнес от OTP-ботов
Учитывая, что от человеческой ошибки защититься сложнее всего, компаниям следует внедрить как можно больше технических мер предосторожности. Они могут включать в себя:
Ограничение частоты запросов и регулирование пропускной способности
Ограничьте количество запросов одноразовых кодов доступа (OTP) с одного IP-адреса, номера телефона или аккаунта в течение определенного периода времени. Это не позволит злоумышленникам перегружать ваши системы автоматическими запросами.
CAPTCHA и поведенческий анализ
Используйте проверки CAPTCHA при обнаружении подозрительной активности и применяйте поведенческий анализ для обнаружения нечеловеческих паттернов, таких как быстрая отправка форм или неестественные движения мыши.
Цифровой отпечаток устройства
Отслеживайте характеристики устройств, чтобы выявлять повторных нарушителей и помечать устройства, отправляющие несколько запросов OTP для разных аккаунтов.
Многофакторная аутентификация помимо OTP
Добавьте более надежные методы аутентификации, такие как аппаратные ключи безопасности, биометрическая верификация или push-уведомления, чтобы снизить зависимость только от OTP.
Усиление безопасности API
Защитите свои API для OTP, требуя аутентификацию, подписывая запросы, проверяя вводимые данные и используя безопасные каналы связи для предотвращения перехвата или манипуляций.
Мониторинг и обнаружение
Отслеживайте шаблоны использования, чтобы выявить необычное поведение, которое может указывать на активность ботов. Используйте оповещения в реальном времени, чтобы фиксировать всплески запросов OTP или неожиданный географический доступ. Регулярно проверяйте журналы, чтобы обнаруживать угрозы на ранней стадии.
Как защитить себя от OTP-ботов
OTP-боты могут быть опасны, но вы можете предпринять простые шаги, чтобы защитить свои аккаунты.
Используйте надежные, уникальные пароли или ключи доступа
Используйте бизнес-менеджер паролей для генерации и хранения уникальных учетных данных для каждого аккаунта. Если возможно, используйте ключи доступа, которые избавляют от необходимости использовать одноразовые пароли (OTP).
Используйте аппаратный ключ безопасности
Физические ключи безопасности, такие как YubiKey, обеспечивают надежную защиту от автоматических атак, поскольку для них требуется физический доступ к вашему устройству.
Остерегайтесь фишинга
Остерегайтесь нежелательных сообщений с запросом кодов подтверждения. OTP предназначен для ввода на веб-сайте или в приложении, им нельзя ни с кем делиться.
Отслеживайте активность в своем аккаунте
Регулярно проверяйте историю входов и настройки аккаунта на наличие необычной активности.
Используйте приложение для аутентификации вместо смс
Одноразовые пароли на основе времени (TOTP) — коды, генерируемые приложением для аутентификации, — более безопасны, чем OTP по смс, которые могут быть перехвачены с помощью атак с подменой SIM-карты.
Хорошая гигиена паролей — это ваша первая линия обороны
Сочетание надежных технических средств защиты с соблюдением правил гигиены учетных данных имеет большое значение для предотвращения несанкционированного доступа.
A бизнес-менеджер паролей — один из самых простых и эффективных инструментов, которые вы можете использовать. Он гарантирует, что сотрудники не будут повторно использовать слабые пароли в разных аккаунтах, а это именно та уязвимость, для использования которой созданы OTP-боты.
Объедините его с устойчивыми к фишингу методами аутентификации и культурой осведомленности о безопасности, и вы сделаете свой бизнес гораздо более трудной мишенью.
