I bot OTP prendono di mira i sistemi con password monouso per hackerare i tuoi account. Ecco come difendersi da loro.
Le password monouso (OTP) potrebbero non essere così sicure come sembrano, poiché l’aumento dei bot OTP getta un’ombra oscura su quella che dovrebbe essere un’importante funzionalità di sicurezza. Data la loro diffusione, la crescente prevalenza di bot OTP che prendono di mira questi sistemi è ancora più preoccupante. Ecco tutto ciò che devi sapere su di loro in modo da poter stare al sicuro da questa minaccia.
Cosa sono le password monouso?
Per comprendere i bot OTP, devi prima farlo comprendere le OTP stesse. Come suggerisce il nome, una password monouso è un codice di accesso temporaneo che ottieni dopo aver inserito altre credenziali come il tuo indirizzo email e la password. In genere durano solo dai 30 ai 60 secondi prima di non consentire più l'accesso a un account.
L'idea qui è quella di fermare le persone che potrebbero aver rubato, indovinato o forzato la tua password. Inviando un codice monouso tramite chiamata, SMS o app mobile dedicata, il servizio garantisce che la persona che accede abbia accesso anche a un dispositivo affidabile. Rubare una password è relativamente facile, ma è improbabile che un criminale abbia la tua password e il tuo telefono.
Come funzionano i bot OTP?
Gli OTP sono diventati così comuni che alcuni telefoni ora elimina automaticamente questi codici di verifica svuota la casella di posta. Anche se ciò dovrebbe significare che i tuoi account online sono più sicuri che mai, ha reso gli stessi sistemi OTP un bersaglio per i criminali informatici. I bot OTP prendono di mira questi sistemi in due modi.
Il primo e più comune modo in cui funzionano i bot OTP è inducendo gli utenti a rivelare i loro codici monouso. Per fare ciò, spesso impersonano il servizio a cui stanno tentando di accedere. Immagina che un criminale informatico stia tentando di accedere al tuo conto bancario online. Quando inseriscono le tue credenziali, un bot ti invierà un messaggio, un'e-mail o una chiamata, fingendo di essere la banca che richiede il tuo codice.
Poiché i bot agiscono immediatamente, la richiesta dovrebbe arrivare contemporaneamente al messaggio che trasporta il codice, quindi potrebbe non sembrare sospetta. Potresti quindi rispondere con l'OTP, inviandolo accidentalmente all'hacker, che potrà quindi utilizzarlo per accedere al tuo account.
L’altro modo in cui funzionano i bot OTP è intercettando il messaggio OTP prima che ti raggiunga. In caso di successo, questo metodo potrebbe avere meno probabilità di generare allarmi, ma è più difficile da realizzare. C'è una ragione per cui Rapporto annuale sulle indagini sulla violazione dei dati di Verizon ha scoperto che la maggior parte degli attacchi coinvolge un elemento umano: le persone rappresentano spesso l’anello più debole.
Come difendersi dai bot OTP
Gli attacchi dei bot OTP sono allarmanti, ma puoi fermarli. Ricordati di verificare sempre prima di fidarti di qualsiasi cosa e di peccare per eccesso nel non rispondere alle richieste non richieste.
In questo contesto, ciò significa verificare con la tua banca o altro servizio per vedere se contattano mai le OTP senza che tu intervenga. La maggior parte non lo fa, quindi generalmente è meglio non rispondere a una richiesta OTP se non hai provato ad accedere a nulla.
Se disponibile, dovresti abilitare funzionalità MFA resistenti al phishing, sebbene questi non siano ancora comuni. L'MFA resistente al phishing rimuove l'elemento umano dall'equazione, utilizzando invece la crittografia e l'autenticazione del dispositivo per verificare i tentativi di accesso. In questo modo saprai che tutte le richieste OTP sono truffe, poiché il servizio reale non le utilizzerà.
Anche laddove questo tipo di MFA non è disponibile, potresti essere in grado di attivare fattori di identificazione diversi dalle OTP. La biometria come il riconoscimento facciale o la scansione delle impronte digitali è un'ottima opzione. Mentre è possibile bypassare l'autenticazione biometrica, è altamente tecnico e non così comune come gli attacchi incentrati sulle password, quindi questi fattori sono comunque più sicuri delle OTP.
Infine, stai sempre attento ad attività sospette. Se ricevi un avviso di un tentativo di accesso che non ricordi o che sai non essere stato tu, contatta immediatamente il servizio in questione. Allo stesso modo, modifica le tue password e contatta l'azienda se noti attività su account che non ricordi. Agire rapidamente è la chiave per fermare gli attacchi prima che causino danni ingenti.
La consapevolezza è il primo passo verso la sicurezza
Conoscere i bot OTP è il primo passo per proteggersi da essi. Quando saprai a cosa fare attenzione, capirai come stare al sicuro.
Ricorda che nessun sistema di sicurezza è affidabile al 100%. Le OTP e altri metodi MFA sono una parte cruciale di una buona sicurezza informatica, ma non sono perfetti. Di conseguenza, dovresti sempre affrontare le cose con cautela e prestare attenzione ad attività sospette.