Nueva forma de ataque de phishing en aumento
La autenticación de dos factores se ha convertido en una función de seguridad estándar en ciberseguridad. Requiere que los usuarios verifiquen su identidad con un segundo paso de autenticación, generalmente una contraseña de un solo uso (OTP) enviada por mensaje de texto, correo electrónico o aplicación de autenticación.
Esta capa adicional de seguridad está diseñada para proteger las cuentas de los usuarios incluso si les roban las contraseñas. Sin embargo, los estafadores han empleado métodos sofisticados para engañar a los usuarios y conseguir que revelen estas contraseñas de un solo uso, lo que les permite eludir la protección de doble factor (2FA) mediante bots de OTP.
Un bot OTP es una herramienta sofisticada que utilizan los estafadores para interceptar códigos OTP mediante ataques de ingeniería social. Los atacantes suelen intentar robar las credenciales de inicio de sesión de las víctimas mediante métodos como el phishing o la explotación de vulnerabilidades de datos para robar información.
Luego, inician sesión en la cuenta de la víctima, lo que activa el envío del código OTP a su teléfono. A continuación, el bot OTP llama automáticamente a la víctima, haciéndose pasar por un empleado de una organización de confianza, utilizando un guion de conversación preprogramado para convencerla de que revele el código OTP. Finalmente, el atacante recibe el código OTP a través del bot y lo utiliza para obtener acceso no autorizado a la cuenta de la víctima.
Los estafadores prefieren las llamadas de voz a los mensajes de texto porque las víctimas suelen responder con mayor rapidez a este método. Por ello, los bots de OTP simulan el tono y la urgencia de una llamada humana para generar confianza y persuasión.
Para usar un bot de OTP, el estafador primero debe robar las credenciales de inicio de sesión de la víctima. Suelen usar sitios web de phishing diseñados para parecerse a páginas de inicio de sesión legítimas de bancos, servicios de correo electrónico u otras cuentas en línea. Cuando la víctima ingresa su nombre de usuario y contraseña, el estafador recopila esta información automáticamente al instante (en tiempo real).
Según las estadísticas de Kaspersky, del 1 de marzo al 31 de mayo de 2024, sus soluciones de seguridad evitaron 653.088 visitas a sitios web creados por kits de phishing dirigidos a bancos.
Los datos robados de estos sitios se utilizan a menudo en ataques de bots OTP. Durante el mismo período, la empresa de ciberseguridad también detectó 4721 sitios de phishing creados con herramientas diseñadas para eludir la autenticación de dos factores en tiempo real.
Solución
Si bien la A2F es una medida de seguridad importante, no es la solución definitiva. Para proteger a los usuarios de estas estafas sofisticadas, los expertos en ciberseguridad recomiendan:
Evite hacer clic en enlaces de correos electrónicos sospechosos. Si necesita iniciar sesión en su cuenta de alguna organización, escriba la dirección exacta del sitio web o marque la casilla correspondiente.
Asegúrese de que la dirección del sitio web sea correcta y esté libre de errores tipográficos. Puede usar la herramienta Whois para verificar la información de registro del sitio web. Si el sitio web se registró recientemente, es probable que sea una estafa.
Nunca proporcione códigos OTP por teléfono, por muy convincente que parezca la persona que llama. Los bancos y otras organizaciones de buena reputación nunca piden a los usuarios que lean o introduzcan códigos OTP por teléfono para verificar su identidad.
[anuncio_2]
Fuente: https://laodong.vn/cong-nghe/canh-bao-ve-cac-hinh-thuc-tan-cong-gia-mao-de-vuot-xac-thuc-2-yeu-to-1351735.ldo
Kommentar (0)