Novas formas de ataques de phishing estão em ascensão.
A autenticação de dois fatores tornou-se um recurso de segurança padrão em cibersegurança. Ela exige que os usuários verifiquem sua identidade com uma segunda etapa de autenticação, geralmente uma senha de uso único (OTP) enviada por mensagem de texto, e-mail ou aplicativo de autenticação.
Essa camada extra de segurança visa proteger as contas dos usuários mesmo que suas senhas sejam roubadas. No entanto, golpistas têm usado métodos sofisticados para enganar os usuários e fazê-los revelar esses códigos OTP, permitindo que eles burlem a autenticação de dois fatores (2FA) por meio de bots de OTP.
O bot OTP é uma ferramenta sofisticada usada por golpistas para interceptar códigos OTP por meio de ataques de engenharia social. Os atacantes geralmente tentam roubar as credenciais de login das vítimas por meio de métodos como phishing ou explorando vulnerabilidades de dados para obter informações.
Em seguida, eles acessam a conta da vítima, o que aciona o envio do código OTP para o celular dela. Depois, o bot de OTP liga automaticamente para a vítima, se passando por um funcionário de uma organização confiável, usando um roteiro de conversa pré-programado para convencê-la a revelar o código OTP. Finalmente, o atacante recebe o código OTP por meio do bot e o utiliza para acessar ilegalmente a conta da vítima.
Os golpistas preferem chamadas de voz a mensagens de texto porque as vítimas tendem a responder mais rapidamente a esse método. Os bots de senha única (OTP) imitam o tom e a urgência de uma chamada humana para criar uma sensação de confiança e persuasão.
Para usar um bot de OTP (senha de uso único), o golpista precisa primeiro roubar as credenciais de login da vítima. Eles costumam usar sites de phishing projetados para se parecerem exatamente com as páginas de login legítimas de bancos, serviços de e-mail ou outras contas online. Quando a vítima insere seu nome de usuário e senha, o golpista coleta essas informações automaticamente e instantaneamente (em tempo real).
Segundo as estatísticas da Kaspersky, de 1º de março a 31 de maio de 2024, suas soluções de segurança impediram 653.088 visitas a sites criados por kits de phishing direcionados a bancos.
Os dados roubados desses sites são frequentemente usados em ataques de bots de senha única (OTP). Durante o mesmo período, a empresa de cibersegurança também detectou 4.721 sites de phishing criados por ferramentas projetadas para burlar a autenticação de dois fatores em tempo real.
Solução
Embora a autenticação de dois fatores (2FA) seja uma importante medida de segurança, ela não é infalível. Para proteger os usuários desses golpes sofisticados, especialistas em segurança cibernética recomendam:
Evite clicar em links em mensagens de e-mail suspeitas. Se precisar acessar sua conta em alguma organização, digite o endereço exato do site ou use um marcador.
- Certifique-se de que o endereço do site esteja correto e sem erros de digitação. Você pode usar a ferramenta Whois para verificar as informações de registro do site. Se o site foi registrado recentemente, é provável que seja um site fraudulento.
- Nunca forneça códigos OTP por telefone, não importa o quão convincente a pessoa que liga pareça. Bancos e outras organizações respeitáveis nunca pedem aos usuários que leiam ou insiram códigos OTP por telefone para verificar sua identidade.
Fonte: https://laodong.vn/cong-nghe/canh-bao-ve-cac-hinh-thuc-tan-cong-gia-mao-de-vuot-xac-thuc-2-yeu-to-1351735.ldo
Comentário (0)