Боты для перехвата одноразовых паролей (OTP-боты): подробное руководство

OTP-боты (One-Time Password Bots) – это автоматизированное программное обеспечение, чаще всего вредоносное, предназначенное для обхода двухфакторной аутентификации (2FA) и кражи доступа к учетным записям пользователей. Чаще всего они продаются через Telegram, приложение для обмена текстовыми сообщениями.

Например, кто-то кричит на свой геймпад, потому что NPC только что предал его худшим способом. В то же время этот человек получает сообщение от его банка: “Мы обнаружили подозрительную активность. Отвечайте с помощью OTP, который мы только что отправили, чтобы защитить ваш аккаунт”.

В панике (и желая вернуться к своей игре), человек отвечает и не подозревает, что только что передал свой счет кибер-таракану, который проникает через пробелы в системе безопасности.

Вот так может выглядеть типичная атака OTP-ботов. Эти атаки становятся все умнее, нацеливаясь на отдельных лиц, сотрудников и даже целые компании.

Далее описывается, как работают OTP-боты и, что более важно, как с ними бороться.

Двухфакторная аутентификация (2FA) и одноразовые пароли (OTP)

Двухфакторная аутентификация (2FA) – это второй уровень аутентификации для дополнительной безопасности, очень часто это одноразовый пароль (OTP).

Аутентификация, как правило, делится на три категории:

  • Что-то, что человек знает (его пароль)
  • Что-то, что у него есть (его телефон)
  • Что-то, что является его частью (отпечаток пальца или лицо)

Пароль – это первый уровень безопасности, но 2FA усиливает его, требуя второго фактора, обычно OTP, отправленного на телефон, или биометрическую верификацию.

Почему 2FA важна

  • Без 2FA: хакеру достаточно украсть пароль, чтобы получить доступ к учетной записи.
  • С 2FA (уровень OTP): Даже если пароль скомпрометирован, злоумышленнику все равно нужен второй фактор аутентификации, что значительно усложняет несанкционированный доступ.
Without 2FA

Без 2FA злоумышленнику достаточно похитить пароль, чтобы получить доступ к учетной записи.

with-2FA

С 2FA наличие второго уровня аутентификации (OTP) не позволяет хакеру получить доступ к учетной записи, даже если у него есть пароль.

Что такое OTP?

Одноразовый пароль (OTP) – это временный код, который отправляется через приложение, SMS или электронную почту для подтверждения попытки входа в учетную запись. Даже если хакер украдет пароль, ему все равно понадобится этот уникальный код, который добавляет аккаунту дополнительный уровень безопасности.

В течение многих лет считалось, что 2FA на основе OTP является лучшей защитой. Многие приложения подталкивают пользователей включить эту функцию, давая успокаивающее ощущение безопасности.

Но вот в чем проблема: киберпреступники нашли способ ее обойти.

Добро пожаловать в мир OTP-ботов, где злоумышленники используют автоматизацию, чтобы обойти 2FA и украсть доступ к аккаунтам. Далее будет рассматриваться, как они работают и, что более важно, как их остановить.

Что такое OTP-боты?

OTP-боты – это современные программы, предназначенные для перехвата и похищения одноразовых паролей (One-Time Password Bots, OTP), позволяющих злоумышленникам получить несанкционированный доступ к защищенным аккаунтам. Их появление совпадает с ростом использования двухфакторной аутентификации (2FA). OTP-боты считаются одной из форм социальной инженерии.

Эти боты наносят значительный ущерб как физическим, так и юридическим лицам. Такие отрасли как банковское дело, электронная коммерция и платформы SaaS являются частыми мишенями для OTP-ботов, так как они часто сохраняют конфиденциальную информацию о пользователях, включая платежные реквизиты.

Большинство OTP-ботов злоумышленники покупают на таких платформах, как Telegram. Они разработаны так, чтобы их было очень легко внедрить.

Важно отметить, что поддаться социальной инженерии не значит быть неосторожным. Злоумышленники знают о том, что осведомленность о безопасности постоянно растет и создают свои инструменты, чтобы эксплуатировать даже осторожных пользователей.

SMSRanger – один из самых популярных OTP-ботов, который сейчас работает. Он появился во время пандемии, когда большинство людей работали из дома. Злоумышленник может выбрать пакет для покупки и совершить платеж компании, предоставляющей бота. Всё очень просто.

Как работают OTP-боты?

OTP-боты используют сочетание автоматизации и тактики социальной инженерии, чтобы нанести ущерб системам.

Схема того, как обычно работает атака OTP-ботов

OTP bot flow

На приведенной выше схеме злоумышленник совершает захват аккаунта, но некоторые сервисы OTP-ботов предлагают и такую ​​возможность.

Скрипт, использующий OTP-бот, можно полностью настроить, начиная от используемого им языка и заканчивая музыкой, которую он играет, когда человек находится на удержании.

Этапы атаки OTP-ботов

  1. Злоумышленник инициирует атаку. Вооружившись украденным паролем (от фишинга, утечки данных или подбора учетных данных), злоумышленник передает его OTP-боту.
  2. Бот выдает себя за доверенное лицо. Бот звонит или посылает человеку сообщения, выдавая себя за легальную компанию (например, банк или поставщика услуг), и предупреждает его о подозрительной транзакции.
  3. Человек попадает в ловушку. Веря, что сообщение подлинное, человек вводит только что полученный OTP-код, думая, что таким образом он защищает свой аккаунт.
  4. Бот завершает атаку. Отвлекая цель, бот пересылает OTP злоумышленнику, который быстро входит в систему и получает несанкционированный доступ, часто похищая деньги или конфиденциальную информацию в считанные секунды.

Типичные тактики, использующие OTP-боты

Понимание этих тактик – ключ к защите от них. Далее описываются методы, как можно оставаться защищенными.

Эксплуатация человеческих уязвимостей

Наибольшей слабостью OTP-ботов является ошибка человека. Используя социальную инженерию, злоумышленники обманом вынуждают пользователей добровольно делиться своими OTP. Поскольку люди привыкли вводить или делиться кодами, они реже подвергают сомнению запрос, особенно если злоумышленник убедительно выдает себя за надежный источник, например, банк или SaaS-платформу.

Перехват OTP в режиме реального времени

Злоумышленники могут перехватывать OTP в режиме реального времени, используя такие методы, как фишинг или вредоносное программное обеспечение. Как только они перехватывают пароль, они немедленно запрашивают OTP, чтобы войти в систему до истечения срока действия кода. Основной причиной, почему перехват OTP в режиме реального времени возможен, является уязвимость протокола SS7 (Common Channel Signaling System No. 7), обеспечивающего большую часть сетевой связи по всему миру.

Автоматизированные боты для звонков

Сложные боты совершают автоматизированные телефонные звонки, представляясь легитимными организациями, и манипулируют людьми, заставляя их предоставлять OTP-адреса. Срочность и профессионализм этих звонков часто застают пользователей врасплох. Природа автоматизированных звонков также делает их безумно масштабируемыми, что позволяет совершать больше атак за короткий промежуток времени.

Подбор учетных данных с помощью OTP-запросов

Злоумышленники используют украденные учетные данные, полученные в результате утечки данных, и пытаются войти на несколько сайтов. При включении 2FA они запускают OTP-запросы и используют ботов или социальную инженерию, чтобы собрать коды, завершая процесс входа в систему.

Типы OTP-ботов и их коварные тактики

Голосовые боты

Автоматизированные звонки выдают себя реальными людьми и организациями, используя голоса, акценты и языки, сгенерированные искусственным интеллектом, чтобы звучать убедительно.

SMS-боты

Поддельные тексты имитируют официальные сообщения, используют замену номеров и даже эксплуатируют уязвимости SS7 для перехвата OTP-паролей.

Боты на основе приложений

Эксплуатируют приложения для проверки подлинности, обманом заставляя пользователей вводить OTP на фальшивых интерфейсах или злоупотребляя уязвимостями в системе безопасности.

Фишинговые боты для электронной почты

Отправляют реалистические электронные письма с поддельными доменами и персонализированным контентом, чтобы обманом заставить жертв предоставить OTP-коды.

Боты в социальных сетях

Используют публичную информацию для создания убедительных мошеннических схем, выдавая себя за друзей, компании или влиятельных лиц, чтобы похитить OTP.

Боты для браузеров

Внедряют вредоносные скрипты для перехвата OTP или изменения внешнего вида веб-сайта в режиме реального времени, обманывая пользователей.

Боты-эксплуататоры API

Нацеленные на незащищенные API перехватывают OTP еще до того, как они попадут в систему верификации.

Почему угроза от OTP-ботов растет?

Поскольку OTP становится ключевым элементом безопасности в системах 2FA и беспарольного входа, они также становятся мишенью для хакеров.

Чем больше компаний и пользователей начинают полагаться на OTP для защиты своих аккаунтов, тем больше злоумышленники будут пытаться обойти этот уровень безопасности, как они делали с паролями.

Кроме того, хакеры могут легко приобрести услуги OTP-ботов. Эти сервисы облегчили злоумышленникам запуск атак с минимальными усилиями и издержками.

Таким образом, сочетание широкого использования OTP и легкого доступа к хакерским инструментам делает OTP-ботов серьезной угрозой для пользователей и компаний, использующих их учетные записи.

Риски для безопасности от OTP-ботов

OTP-боты представляют огромный риск для бизнеса и пользователей, поэтому и тем и другим нужно срочно принимать меры для защиты своих данных и информации.

Согласно отчету Proofpoint, злоумышленники ежедневно совершают более 100 000 телефонных атак. Частое использование OTP-ботов и проблемы с обнаружением атак в режиме реального времени делают усилия по минимизации рисков все сложнее.

Обход двухфакторной аутентификации (2FA)

OTP-боты используют уязвимости в системах 2FA, что облегчает злоумышленникам получение несанкционированного доступа к аккаунтам даже при наличии дополнительного уровня безопасности.

Захват аккаунта

Злоумышленники используют OTP-ботов для получения контроля над учетными записями пользователей, что приводит к воровству личных данных, финансовому мошенничеству или неправомерному использованию конфиденциальной информации.

Финансовые потери

OTP-боты часто используются для разорения банковских счетов, совершения несанкционированных покупок или мошеннического перевода средств.

Репутационный ущерб

Компании, подвергающиеся атакам OTP-ботов, рискуют потерять доверие клиентов, что может привести к потере репутации и потенциальной потере бизнеса.

Нарушения безопасности

Имея доступ к аккаунтам, злоумышленники могут получить личную или деловую информацию, что приводит к дальнейшим нарушениям или утечке данных. Эти боты могут автоматизировать и выполнять атаки в масштабах, компрометируя несколько аккаунтов за короткий промежуток времени.

Увеличение расходов для бизнеса

Организации сталкиваются с большими затратами на восстановление, предотвращение мошенничества и внедрение расширенных мер безопасности после атаки.

Подрыв доверия к системам безопасности

Частые успешные атаки могут поощрить пользователей полагаться на системы 2FA, подрывая всеобщее доверие к цифровой безопасности.

Вывод

Хотя двухфакторная аутентификация (2FA) все еще остается одним из лучших способов защиты, очевидно, что нужно оставаться наготове и продолжать развиваться в сфере безопасности.

Понимание того, как работают OTP-боты, – это первый шаг к победе над ними. Независимо от того, это выявление ботов, обозначение подозрительной активности или переход на TOTP, способов борьбы с ними хватает.

Так что не стоит ждать, пока неприятности постучатся в дверь. Следует усиливать защиту, быть бдительными и беречь свои аккаунты.

Авторка: Maria Shimkovska

Источник

Подписаться на новости