Em Março de 2024, a Kaspersky localizou mais de 4 mil páginas de phishing que recorrem a um novo método de ataque – uma combinação de ataques com bots de password de uso único (OTP) e websites falsos para contornar a protecção oferecida pela autenticação de dois factores (2FA). Os websites falsos e maliciosos, que se fazem passar por páginas oficiais de bancos e outros serviços, são utilizados pelos cibercriminosos para aceder às credenciais das vítimas. Através destes sites, enviam um código automático de segurança aos utilizadores e, com esse código, conseguem ter acesso às suas contas.
A autenticação de dois factores exige que uma identidade seja comprovada através de uma segunda forma de autenticação, normalmente uma password de uso único enviada por mensagem de texto, e-mail ou aplicação, oferecendo assim uma camada de protecção adicional.
Um bot OTP é um método utilizado pelos criminosos e é um software automático que acede a uma password de uso único através de técnicas de engenharia social. Frequentemente, recorrem a sites de phishing que se parecem com as websites oficias de login de bancos, serviços de e-mail ou outras contas online.
Este ataque tem como base o momento de início de sessão numa das cotas online do utilizador. Quando o utilizador coloca as suas credenciais numa das suas contas online, o atacante tem acesso imediato a essas informações. Em seguida, envia um código de segurança para o telemóvel da vítima e só tem de aguardar que esta receba uma chamada telefónica de um colaborador da empresa em questão, supostamente confiável e oficial. Esse colaborador é, na verdade, um robot que usa uma gravação para manipular a vítima e fazer com que esta disponibilize ou escreva o código de segurança que acabou de receber por mensagem ou e-mail. No momento que o utilizador partilha esse código, permite o acesso total ao atacante à sua conta.
Os criminosos preferem executar os seus esquemas através de chamadas telefónicas, pois as pessoas tendem a atender as chamadas mais rapidamente. O bot tem a capacidade de imitar o tom de voz e a urgência de uma chamada legítima, tornando-a mais convincente. Outra vantagem desses bots é que são controlados por painéis online ou por plataformas como o Telegram, que possuem várias funcionalidades e podem ser customizados, permitindo que os atacantes se façam passar por diferentes organizações, com diferentes idiomas e com opção de escolha entre vozes masculinas e femininas. As opções avançadas incluem a falsificação de números de telefone, oferecendo a legitimidade necessária para enganar a vítima.
«Está cada vez mais fácil executar esquemas para desactivar a protecção da autenticação de dois factores (2FA). Antigamente, o criminoso executava os seus esquemas manualmente, no estilo ‘man-in-the-middle’, onde era obrigado a solicitar o token à vítima no momento de iniciar sessão numa das suas contas online. Actualmente, com a utilização de bots, este processo tornou-se automático. Para nos protegermos, é crucial estarmos conscientes e optarmos pelas melhores práticas de cibersegurança para evitarmos ser a próxima vítima», afirma Fabio Assolini, director da Equipa de Investigação e Análise Global da Kaspersky.
