Amaran tentang serangan pancingan data untuk memintas pengesahan 2 faktor

Bentuk serangan pancingan data baharu semakin meningkat

Pengesahan dua faktor telah menjadi ciri keselamatan standard dalam keselamatan siber. Ia memerlukan pengguna untuk mengesahkan identiti mereka dengan langkah pengesahan kedua, biasanya kata laluan sekali sahaja (OTP) yang dihantar melalui mesej teks, e-mel atau apl pengesahan.

Lapisan keselamatan tambahan ini bertujuan untuk melindungi akaun pengguna walaupun kata laluan mereka dicuri. Walau bagaimanapun, penipu telah menggunakan kaedah yang canggih untuk menipu pengguna supaya mendedahkan OTP ini, membolehkan mereka memintas perlindungan 2FA, melalui bot OTP.

OTP Bot ialah alat canggih yang digunakan oleh penipu untuk memintas kod OTP melalui serangan kejuruteraan sosial. Penyerang sering cuba mencuri bukti kelayakan log masuk mangsa melalui kaedah seperti pancingan data atau mengeksploitasi kelemahan data untuk mencuri maklumat.

Mereka kemudian log masuk ke akaun mangsa, mencetuskan kod OTP untuk dihantar ke telefon mangsa. Seterusnya, bot OTP secara automatik memanggil mangsa, menyamar sebagai pekerja organisasi yang dipercayai, menggunakan skrip perbualan yang telah diprogramkan untuk meyakinkan mangsa supaya mendedahkan kod OTP. Akhirnya, penyerang menerima kod OTP melalui bot dan menggunakannya untuk mengakses akaun mangsa secara haram.

Penipu lebih suka panggilan suara berbanding mesej teks kerana mangsa cenderung untuk bertindak balas dengan lebih cepat kepada kaedah ini. Bot OTP meniru nada dan kesegeraan panggilan manusia untuk mewujudkan rasa percaya dan pujukan.

Untuk menggunakan bot OTP, penipu perlu mencuri bukti kelayakan log masuk mangsa terlebih dahulu. Mereka sering menggunakan tapak web pancingan data yang direka bentuk untuk kelihatan sama seperti halaman log masuk bank, perkhidmatan e-mel atau akaun dalam talian lain yang sah. Apabila mangsa memasukkan nama pengguna dan kata laluan mereka, penipu secara automatik mengumpul maklumat ini serta-merta (dalam masa nyata).

Menurut statistik Kaspersky, dari 1 Mac hingga 31 Mei 2024, penyelesaian keselamatan mereka menghalang 653,088 lawatan ke tapak web yang dibuat oleh kit alat pancingan data yang menyasarkan bank.

Data yang dicuri dari tapak ini sering digunakan dalam serangan bot OTP. Dalam tempoh yang sama, firma keselamatan siber itu juga mengesan 4,721 tapak pancingan data yang dicipta oleh kit alat yang direka untuk memintas pengesahan dua faktor dalam masa nyata.

Penyelesaian

Walaupun 2FA adalah langkah keselamatan yang penting, ia bukan ubat penawar. Untuk melindungi pengguna daripada penipuan canggih ini, pakar keselamatan siber mengesyorkan:

- Elakkan daripada mengklik pautan dalam mesej e-mel yang mencurigakan. Jika anda perlu log masuk ke akaun anda dengan mana-mana organisasi, taip alamat tapak web yang tepat atau gunakan penanda halaman.

- Pastikan alamat laman web adalah betul dan tiada kesilapan menaip. Anda boleh menggunakan alat Whois untuk menyemak maklumat pendaftaran tapak web. Jika tapak web tersebut telah didaftarkan baru-baru ini, ia berkemungkinan tapak web penipuan.

- Jangan sekali-kali memberikan kod OTP melalui telefon, tidak kira betapa meyakinkan pemanggil itu. Bank dan organisasi terkemuka lain tidak pernah meminta pengguna membaca atau memasukkan kod OTP melalui telefon untuk mengesahkan identiti mereka.