A Kaspersky descobriu uma evolução sofisticada das técnicas de phishing utilizadas pelos cibercriminosos para contornar a autenticação de dois factores (2FA), uma medida de segurança crucial concebida para proteger as contas online. Apesar da sua adopção generalizada por muitos websites e da sua implementação obrigatória por várias organizações, os cibercriminosos desenvolveram métodos avançados, que combinam técnicas de phishing com a utilização de bots OTP automatizados, para enganar os utilizadores e obter acesso não autorizado às suas contas.
A autenticação de dois factores é uma funcionalidade de segurança que se tornou uma prática padrão na segurança online. Exige que os utilizadores verifiquem a sua identidade através de uma segunda forma de autenticação, normalmente uma password de uso único (OTP) enviada por mensagem de texto, e-mail ou uma aplicação de autenticação. Esta camada extra de segurança destina-se a proteger as contas dos utilizadores, mesmo que as suas passwords sejam comprometidas. No entanto, a Kaspersky averiguou que os cibercriminosos conseguiram desenvolver novas formas de enganar os utilizadores e fazer com que estes revelem a OTP, permitindo-lhes contornar as protecções da 2FA.
Um bot OTP é uma ferramenta utilizada para interceptar uma password de uso único (OTP) através de técnicas de engenharia social. Normalmente, os atacantes tentam obter as credenciais de início de sessão da vítima através de phishing ou de fugas de dados e, em seguida, iniciam sessão na conta da vítima, accionando o envio de uma OTP para o telemóvel da vítima. Depois disso, o bot OTP telefona à vítima, fingindo ser um representante de uma organização de confiança, e utiliza um diálogo pré-escrito para persuadir a vítima a partilhar a OTP. O atacante recebe a OTP através do bot e utiliza-a para obter acesso à conta da vítima.
Os burlões preferem as chamadas telefónicas às mensagens porque as chamadas aumentam as hipóteses de a vítima responder rapidamente. O bot pode imitar o tom e a urgência de uma chamada legítima, tornando-a mais convincente.
Outra vantagem é que são geridos através de painéis online especiais ou de plataformas de mensagens como o Telegram. Estes bots vêm com várias funcionalidades e planos de subscrição. Podem ser personalizados para se fazerem passar por diferentes organizações, usar vários idiomas e até escolher entre vozes masculinas e femininas. As opções avançadas incluem a falsificação de números de telefone, fazendo com que o identificador de chamadas pareça vir de uma organização legítima.
Antes de utilizar um bot OTP, precisam de ter acesso às credenciais da vítima. Utilizam frequentemente websites de phishing que parecem páginas de início de sessão legítimas de bancos, serviços de e-mail ou outras contas online. Quando a vítima introduz o seu nome de utilizador e password, captam esta informação em tempo real.
A investigação da Kaspersky mostra o impacto significativo destes ataques de phishing e de bots OTP. De 1 de março a 31 de maio de 2024, os produtos da empresa impediram 653.088 tentativas de visita a sites gerados pelos kits de phishing dirigidos ao setor bancário, cujos dados são frequentemente utilizados em ataques com bots OTP. Durante o mesmo período, a tecnologia da Kaspersky detetou 4.721 páginas de phishing geradas pelos kits que têm como objetivo contornar a autenticação de dois fatores em tempo real.
»A engenharia social pode ser incrivelmente complicada, especialmente com a utilização de bots OTP, que permitem que o cibercriminoso se faça passar por representantes de serviços legítimos. Para nos mantermos atentos, é crucial permanecermos vigilantes e seguirmos as melhores práticas de segurança. Através da investigação e inovação contínuas, a Kaspersky disponibiliza soluções de segurança de ponta para salvaguardar as vidas digitais dos seus utilizadores», afirma Olga Svistunova, especialista em segurança da Kaspersky.