一次性密碼 (OTP) 是傳統雙重身分驗證 (2FA) 和多重要素驗證 (MFA) 的核心部分。

當您登入帳號或驗證交易時,會透過電子郵件、簡訊或驗證 app 收到這些密碼,以確認您的身分。

現在,網路犯罪分子已找到使用 OTP 機器人繞過這些保護措施的方法。

什麼是 OTP 機器人?

OTP 機器人是一種自動化軟體程式,可用於攔截或竊取用來驗證您身分的一次性密碼。其目標是控制您的帳號,這被稱為帳號接管攻擊(或 ATO)。

網路犯罪分子可以在地下市場(通常透過 Telegram)購買 OTP 機器人攻擊,每次攻擊僅需 10 美元。這種低成本、可擴充的方法讓攻擊者只需花費極少的精力,就能同時針對許多人發動攻擊。

OTP 機器人的運作原理

OTP 機器人旨在利用您收到 一次性密碼 到您將其輸入應用程式或網站之間的這段時間。這個時間窗口通常不到一分鐘。

網路犯罪分子通常透過三種方式攔截代碼:

透過社交工程進行 OTP 機器人帳號接管

    攻擊者利用被盜或外洩的憑證在合法的網站上觸發 OTP 步驟。接著,機器人會透過簡訊或電話與您聯繫,並使用旨在營造緊迫感的指令碼(例如,冒充銀行的防詐騙團隊)。如果您共享 OTP,機器人會將其實時傳送給攻擊者,從而讓他們取得您帳號的存取權。然後,攻擊者可以更改登入憑證並將您拒之門外。

    透過攔截進行 OTP 機器人帳號接管

      利用被盜的憑證觸發 OTP,機器人會嘗試在代碼到達您之前將其攔截。常見的方法包括:

      • SIM 卡交換攻擊:攻擊者說服行動電信業者將您的電話號碼轉移到他們控制的 SIM 卡中,這樣簡訊代碼就會直接傳送給他們。 
      • 應用程式介面漏洞利用:機器人針對安全性較差的驗證應用程式介面,在 OTP 生成時將其捕獲。 
      • 暴力破解:攻擊者嘗試短數字 OTP 的所有可能組合,這在您使用的網站或應用程式未限制重複請求次數時是可行的。

      透過中繼攻擊進行 OTP 機器人帳號接管

        這種變體不依賴被盜的憑證。相反,它會誘騙您向攻擊者提供您的登入詳細資料和 OTP。您會造訪一個看起來像真實網站的虛假網站,並輸入您的憑證。機器人會立即使用這些憑證登入真實網站,這會觸發傳送到您手機的 OTP。然後,虛假網站會要求您輸入該代碼,機器人會即時將其中繼到真實網站。這可以讓攻擊者在代碼過期前完成登入。

        與其他變體一樣,攻擊者隨後可以更改憑證並將您拒之於您的帳號之外。

        OTP 機器人會如何影響您的企業

        輕易就能取得 OTP 機器人服務,可能會增加針對企業的攻擊。雖然銀行業和電子商務是常見的目標,但任何行業都可能受到影響。中小型企業 (SMB) 通常更頻繁地成為攻擊目標(新視窗)

        財務損失可能非常巨大,但這並非您應該考慮的唯一風險。

        儘管財務損失對組織造成的損害可能很大,但這並非唯一應該引起企業主關注的損失。

        失去客戶的信任

        客戶信任度通常在發生 資料外洩(新視窗) 後下降。Vercara 於 2024 年進行的一項 研究(新視窗) 發現,58% 的消費者認為受影響的品牌不值得信賴,70% 的消費者在發生安全事件後會停止在該品牌購物。

        法規遵循風險

        即使沒有資金被盜,您的企業也可能因未能滿足數據保護要求而面臨罰款。例如,通用資料保護規則 (GDPR) 適用於任何處理歐盟居民個人資料的組織,不論其位置或公司規模如何。不遵守規定的處罰可能非常重大。

        如何保護您的企業免受 OTP 機器人的侵害

        鑑於人為錯誤是最難防範的,企業應盡可能實施更多的技術安全防護措施。這些措施可能包括:

        速率限制和流量調節

        限制在設定的時間範圍內,從單一 IP 位址、電話號碼或帳號可以發出多少次一次性密碼 (OTP) 請求。這可以防止攻擊者利用自動化請求向您的系統發送大量垃圾資訊。

        CAPTCHA 和行為分析

        當出現可疑活動時使用 CAPTCHA 驗證,並套用行為分析來檢測非人類模式,例如快速提交表單或不切實際的滑鼠移動。

        裝置指紋識別

        追蹤裝置特徵以識別重複違規者,並標記在不同帳號中發出多次 OTP 請求的裝置。

        超越 OTP 的多重因素驗證

        新增更強大的驗證方法,例如硬體安全性金鑰、生物識別驗證或推播通知,以減少對單一 OTP 的依賴。

        應用程式介面安全性強化

        藉由要求驗證、簽署請求、驗證輸入並使用安全的通訊頻道來保護您的 OTP 應用程式介面,以防止攔截或竄改。

        監控與偵測

        監控使用模式以識別可能代表機器人活動的異常行為。使用即時警示來捕捉 OTP 請求突增或未預期的地理存取。定期審查日誌以提早偵測威脅。

        如何保護自己免受 OTP 機器人的侵害

        OTP 機器人可能非常危險,但您可以採取簡單的步驟來保護您的帳號。

        使用高強度且不重複的密碼或通行密鑰

        使用 商務密碼管理程式 來為每個帳號產生並儲存不重複的憑證。如果可行,請使用通行密鑰,這可以免去對一次性密碼 (OTP) 的需求。

        使用硬體安全性金鑰

        實體安全性金鑰(例如 YubiKey)能針對自動化攻擊提供強大的保護,因為它們需要對您的裝置進行實體存取。

        留意網路釣魚嘗試

        請小心要求提供驗證碼的主動發送訊息。OTP 的目的是要輸入至網站或應用程式中,而非與任何人共享。

        監控您的帳號活動

        定期檢查登入歷史記錄與帳號設定,以查看是否有異常活動。

        使用驗證 app 代替簡訊

        基於時間的一次性密碼 (TOTP) — 由驗證 app 產生的代碼 — 比基於簡訊的 OTP 更安全,後者可能會透過 SIM 卡交換攻擊而被攔截。

        良好的密碼習慣是您的第一道防線

        將強大的技術保護措施與良好的憑證安全習慣相結合,對防範攻擊者大有幫助。

        商務密碼管理程式 是您可以使用最簡單且最有效的工具之一 — 它可確保員工不會跨帳號重複使用強度弱的密碼,這正是 OTP 機器人旨在利用的漏洞類型。

        將其與具備防範網路釣魚能力的驗證方法以及安全意識文化相結合,即可使您的企業成為更難以攻破的目標。