Cibercriminosos usam bots automatizados para burlar a autenticação de dois fatores
Embora a autenticação de dois fatores seja uma medida crucial de cibersegurança, não é infalível
A Kaspersky, empresa de segurança cibernética, identificou em março de 2024 uma nova onda de ataques cibernéticos envolvendo mais de 4 mil páginas de phishing. Esses ataques utilizam uma combinação de técnicas de engenharia social e robôs automáticos (bots OTP) para burlar a autenticação de dois fatores (2FA), comprometendo a segurança de contas online de milhares de usuários.
A autenticação de dois fatores (2FA) é uma camada adicional de segurança que exige que os usuários comprovem sua identidade através de uma segunda forma de autenticação, geralmente uma senha de uso único (OTP) enviada por mensagem de texto, e-mail ou um aplicativo. Esta medida visa proteger as contas, mesmo que a senha principal seja comprometida.
Os cibercriminosos, no entanto, desenvolveram uma técnica sofisticada para burlar essa proteção. Utilizando sites de phishing que imitam páginas de login de bancos, serviços de e-mail e outras plataformas, eles conseguem enganar os usuários e roubar suas credenciais. Após obter o nome de usuário e senha, os criminosos enviam um código OTP para o celular da vítima. Em seguida, um robô (bot) faz uma ligação se passando por um funcionário da instituição legítima, solicitando que a vítima informe o código OTP.
O bot OTP é um software automatizado que utiliza técnicas de engenharia social para roubar a senha de uso único (OTP). Ele se aproveita da confiança dos usuários em chamadas telefônicas, que são percebidas como mais seguras do que mensagens de texto ou e-mails. Durante a chamada, o bot imita o tom e a urgência de uma chamada legítima, tornando-se mais convincente.
Esses bots são controlados por painéis online ou plataformas de mensagem como o Telegram. Eles possuem várias funcionalidades e planos de assinatura, podendo ser personalizados para se passar por diferentes organizações, usar diferentes idiomas e até escolher entre vozes masculinas e femininas. Funções avançadas incluem a falsificação de números de telefone, fazendo com que o identificador de chamadas pareça vir de uma organização legítima.
Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina, alerta sobre a crescente sofisticação desses ataques. “Está cada vez mais fácil e automatizado burlar o 2FA. Antes, o criminoso fazia manualmente, no estilo ‘man-in-the-middle’, onde ele esperava a vítima informar o token e, manualmente, na sessão de acesso da vítima, solicitava o token. Hoje, com os bots, esse processo se automatizou. Para nos protegermos, é crucial estar atento e usar das melhores práticas de cibersegurança para não se tornar uma vítima“.
Medidas de proteção recomendadas
Embora a autenticação de dois fatores seja uma medida crucial de cibersegurança, não é infalível. Para se proteger desses esquemas sofisticados, a Kaspersky recomenda várias práticas:
- Verificação de vazamentos de dados: verifique regularmente se houve vazamentos de dados que afetem suas contas vinculadas a endereços de e-mail e números de telefone. Em caso de violação, altere suas senhas imediatamente.
- Senhas fortes e exclusivas: crie senhas fortes e exclusivas para todas as suas contas. Os golpistas só poderão atacá-lo com bots OTP se souberem sua senha. Portanto, gere senhas complexas e armazene-as com segurança.
- Verificação de sites legítimos: esteja atento para garantir que está em um site legítimo antes de inserir informações pessoais. Um dos truques usados pelos golpistas é direcionar o usuário para um site de phishing, substituindo alguns caracteres na barra de endereços.
- Não compartilhar OTPs: nunca compartilhe OTPs com ninguém, nem as insira no teclado do telefone durante uma chamada. Lembre-se de que funcionários legítimos de bancos, lojas ou prestadores de serviços, ou mesmo autoridades, nunca solicitarão sua OTP.