As senhas de uso único (OTPs) podem não ser tão seguras quanto parecem, já que o aumento de bots OTP lança uma sombra escura sobre o que deveria ser um importante recurso de segurança. Dado o quão comuns eles são, a crescente prevalência de bots OTP direcionados a esses sistemas é ainda mais preocupante. Aqui está tudo o que você precisa saber sobre eles para se proteger dessa ameaça.
últimas postagens
O que são senhas de uso único?
Para entender os bots OTP, primeiro você precisa entender os próprios OTPs. Como o nome sugere, uma senha de uso único é um código de login temporário que você obtém após inserir outras credenciais, como endereço de e-mail e senha. Eles normalmente duram apenas 30 a 60 segundos antes de não concederem mais acesso a uma conta.
A ideia aqui é impedir pessoas que possam ter roubado, adivinhado ou forçado sua senha. Ao enviar um código único por chamada, mensagem de texto ou aplicativo móvel dedicado, o serviço garante que a pessoa que faz login também tenha acesso a um dispositivo confiável. Roubar uma senha é relativamente fácil, mas não é provável que um criminoso tenha sua senha e seu telefone.
Como funcionam os bots OTP?
As OTPs se tornaram tão comuns que alguns telefones agora excluem automaticamente esses códigos de verificação e limpam a caixa de entrada. Embora isso deva significar que suas contas online estão mais seguras do que nunca, tornou os próprios sistemas OTP um alvo para os cibercriminosos. Os bots OTP têm como alvo esses sistemas de duas maneiras.
A primeira e mais comum maneira como os bots OTP funcionam é enganando os usuários para que revelem seus códigos únicos. Para fazer isso, eles geralmente se fazem passar pelo serviço no qual estão tentando fazer login. Imagine que um cibercriminoso esteja tentando fazer login na sua conta bancária online. Quando eles inserem suas credenciais, um bot enviará uma mensagem de texto, um e-mail ou ligará para você, fingindo ser o banco solicitando seu código.
Como os bots agem imediatamente, essa solicitação deve vir ao mesmo tempo que a mensagem que contém seu código, portanto, pode não parecer suspeita. Você pode então responder com o OTP, enviando-o acidentalmente ao hacker, que poderá usá-lo para acessar sua conta.
A outra maneira de os bots OTP funcionarem é interceptando a mensagem OTP antes que ela chegue até você. Quando bem-sucedido, esse método pode ter menos probabilidade de disparar alarmes, mas é mais difícil de ser executado. Há uma razão pela qual Relatório anual de investigação de violação de dados da Verizon descobriram que a maioria dos ataques envolve um elemento humano – as pessoas são muitas vezes o elo mais fraco.
Como se defender contra bots OTP
Os ataques de bots OTP são alarmantes, mas você pode detê-los. Lembre-se de sempre verificar antes de confiar em qualquer coisa e erre por não responder a solicitações não solicitadas.
Nesse contexto, isso significa verificar com seu banco ou outro serviço se eles alguma vez entraram em contato sobre OTPs sem ação de sua parte. A maioria não o faz, então geralmente é melhor não responder a uma solicitação OTP se você não tentou fazer login em nada.
Se disponível, você deve ativar recursos de MFA resistentes a phishing, embora eles ainda não sejam comuns. O MFA resistente a phishing remove o elemento humano da equação, em vez disso usa criptografia e autenticação de dispositivo para verificar as tentativas de login. Dessa forma, você saberá que quaisquer solicitações de OTP são fraudes, pois o serviço real não as utilizará.
Mesmo quando esse tipo de MFA não estiver disponível, você poderá ativar outros fatores de identificação além dos OTPs. A biometria, como reconhecimento facial ou leitura de impressões digitais, é uma ótima opção. Embora seja possível contornar a autenticação biométrica, ela é altamente técnica e não tão comum quanto os ataques focados em senha, portanto, esses fatores ainda são mais seguros que os OTPs.
Por fim, esteja sempre atento a atividades suspeitas. Se você receber um aviso de uma tentativa de login da qual não se lembra ou sabe que não foi você, entre em contato imediatamente com o serviço em questão. Da mesma forma, altere suas senhas e entre em contato com a empresa se notar atividade em alguma conta da qual não se lembra. Agir rápido é a chave para interromper os ataques antes que causem muitos danos.
Conscientização é o primeiro passo em direção à segurança
Aprender sobre os bots OTP é o primeiro passo para se proteger contra eles. Quando você souber o que observar, entenderá como se manter seguro.
Lembre-se de que nenhum sistema de segurança é 100% confiável. As OTPs e outros métodos de MFA são uma parte crucial de uma boa segurança cibernética, mas não são perfeitos. Conseqüentemente, você deve sempre abordar as coisas com cautela e observar atividades suspeitas.