Aumentan las nuevas formas de ataques de phishing
La autenticación de dos factores se ha convertido en una medida de seguridad estándar en ciberseguridad. Requiere que los usuarios verifiquen su identidad con un segundo paso de autenticación, generalmente una contraseña de un solo uso (OTP) enviada por mensaje de texto, correo electrónico o aplicación de autenticación.
Esta capa adicional de seguridad está diseñada para proteger las cuentas de los usuarios incluso si les roban las contraseñas. Sin embargo, los estafadores han utilizado métodos sofisticados para engañar a los usuarios y obtener sus códigos OTP, lo que les permite eludir la autenticación de dos factores mediante bots de OTP.
OTP Bot es una herramienta sofisticada utilizada por estafadores para interceptar códigos OTP mediante ataques de ingeniería social. Los atacantes suelen intentar robar las credenciales de inicio de sesión de las víctimas mediante métodos como el phishing o la explotación de vulnerabilidades de datos para robar información.
A continuación, acceden a la cuenta de la víctima, lo que activa el envío del código OTP a su teléfono. Después, el bot que genera el OTP llama automáticamente a la víctima, haciéndose pasar por un empleado de una organización de confianza, y utiliza un guion de conversación preprogramado para convencerla de que revele el código OTP. Finalmente, el atacante recibe el código OTP a través del bot y lo utiliza para acceder ilegalmente a la cuenta de la víctima.
Los estafadores prefieren las llamadas de voz a los mensajes de texto porque las víctimas suelen responder más rápido a este método. Los bots de OTP imitan el tono y la urgencia de una llamada humana para generar confianza y persuasión.
Para usar un bot de OTP, el estafador primero necesita robar las credenciales de inicio de sesión de la víctima. A menudo utilizan sitios web de phishing diseñados para parecerse exactamente a las páginas de inicio de sesión legítimas de bancos, servicios de correo electrónico u otras cuentas en línea. Cuando la víctima introduce su nombre de usuario y contraseña, el estafador recopila automáticamente esta información al instante (en tiempo real).
Según las estadísticas de Kaspersky, del 1 de marzo al 31 de mayo de 2024, sus soluciones de seguridad impidieron 653.088 visitas a sitios web creados por kits de herramientas de phishing dirigidos a bancos.
Los datos robados de estos sitios se utilizan con frecuencia en ataques de bots de OTP. Durante el mismo período, la empresa de ciberseguridad también detectó 4721 sitios de phishing creados con kits de herramientas diseñados para eludir la autenticación de dos factores en tiempo real.
Solución
Si bien la autenticación de dos factores (2FA) es una medida de seguridad importante, no es la solución definitiva. Para proteger a los usuarios de estas sofisticadas estafas, los expertos en ciberseguridad recomiendan:
Evite hacer clic en enlaces de correos electrónicos sospechosos. Si necesita iniciar sesión en su cuenta de alguna organización, escriba la dirección web exacta o utilice un marcador.
Asegúrate de que la dirección web sea correcta y no tenga errores ortográficos. Puedes usar la herramienta Whois para verificar la información de registro del sitio web. Si el sitio web se registró recientemente, es probable que sea una estafa.
Nunca proporcione códigos OTP por teléfono, por muy convincente que parezca la persona que llama. Los bancos y otras organizaciones de confianza jamás solicitan a sus usuarios que lean o introduzcan códigos OTP por teléfono para verificar su identidad.
Fuente: https://laodong.vn/cong-nghe/canh-bao-ve-cac-hinh-thuc-tan-cong-gia-mao-de-vuot-xac-thuc-2-yeu-to-1351735.ldo
![[Foto] El primer ministro Pham Minh Chinh preside la segunda reunión del Comité Directivo sobre desarrollo económico privado.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/01/1762006716873_dsc-9145-jpg.webp)
Kommentar (0)