OTP (One Time Pass – mật khẩu một lần) là phương thức được sử dụng trong xác thực 2 yếu tố (2FA) nhằm tăng cường lớp bảo mật thường thấy cho các tài khoản trực tuyến. Mã này thường được hệ thống nơi đặt tài khoản gửi qua tin nhắn văn bản (qua số điện thoại đăng ký trước), email hoặc ứng dụng để người dùng có thêm một lớp bảo vệ tài khoản ngay cả khi thông tin đăng nhập của họ bị rò rỉ. Mã này chỉ được sử dụng một lần và được gia hạn liên tục, thời gian sử dụng rất ngắn (khoảng 60 giây hoặc vài phút tùy hệ thống).
Trước đây, đây là phương thức xác thực được khuyên dùng và được coi là an toàn nhưng gần đây, các chuyên gia bảo mật đã phát hiện ra một dạng OTP bot (phần mềm tự động) mới khi những kẻ lừa đảo sử dụng các phương pháp tinh vi để lừa người dùng. người dùng tiết lộ OTP này, cho phép họ vượt qua các biện pháp bảo vệ 2FA.
Theo đó, OTP bot là công cụ được những kẻ lừa đảo sử dụng để chặn mã OTP thông qua các cuộc tấn công phi kỹ thuật. Những kẻ tấn công thường cố gắng đánh cắp thông tin đăng nhập, sau đó truy cập vào tài khoản, kích hoạt việc gửi mã OTP đến điện thoại của nạn nhân. Tiếp theo, bot OTP sẽ tự động gọi điện cho nạn nhân, mạo danh nhân viên của một tổ chức đáng tin cậy, sử dụng kịch bản hội thoại được lập trình sẵn để thuyết phục “con mồi” tiết lộ mã OTP. Khi kẻ tấn công nhận được mã OTP thông qua bot, chúng có thể sử dụng mã đó để truy cập trái phép vào tài khoản của nạn nhân.
Với hình thức này, kẻ lừa đảo ưu tiên sử dụng cuộc gọi thoại hơn là tin nhắn văn bản vì nạn nhân có xu hướng phản hồi nhanh hơn. Bot OTP được thiết lập để mô phỏng giọng điệu và sự khẩn cấp của con người trong cuộc gọi nhằm tạo cảm giác đáng tin cậy và thuyết phục.
Nghiên cứu của hãng bảo mật Kaspersky cho thấy tác động đáng kể của các cuộc tấn công lừa đảo và bot OTP. Trong khoảng thời gian từ ngày 1 tháng 3 đến ngày 31 tháng 5, các giải pháp bảo mật đã ngăn chặn 653.088 lượt truy cập trang web được tạo bởi bộ công cụ lừa đảo nhắm mục tiêu vào các ngân hàng. Dữ liệu bị đánh cắp từ các trang web này thường được sử dụng trong các cuộc tấn công bot OTP. Trong cùng thời gian, Kaspersky đã phát hiện 4.721 trang web lừa đảo được tạo bởi các bộ công cụ nhằm vượt qua xác thực hai yếu tố theo thời gian thực.
Bà Olga Svistunova, chuyên gia bảo mật của Kaspersky, nhận xét: “Kỹ thuật xã hội được coi là một phương thức lừa đảo cực kỳ tinh vi, đặc biệt với sự xuất hiện của các bot OTP với khả năng mô phỏng các cuộc gọi hợp pháp từ đại diện của các dịch vụ. Để luôn cảnh giác, điều quan trọng là phải duy trì cảnh giác và tuân thủ các biện pháp an ninh”.
Một trong những lý do khiến số lượng bot OTP gia tăng là vì chúng được cung cấp dưới dạng dịch vụ và có thể dễ dàng bị tin tặc mua bán trên thị trường chợ đen. Chúng thường đi kèm nhiều gói thuê bao với nhiều tính năng khác nhau, trong đó có việc cho phép kẻ gian tùy chỉnh tính năng của bot để mạo danh tổ chức, sử dụng nhiều ngôn ngữ, chọn tông giọng nam hoặc nữ… Thậm chí còn giả mạo số điện thoại của các tổ chức, doanh nghiệp uy tín để đánh lừa nạn nhân.
Link nguồn: https://cafef.vn/phat-hien-tro-lua-dao-trom-ma-otp-bang-cuoc-goi-tu-dong-18824061313384536.chn