Nueva forma de ataque de phishing en aumento

La autenticación de dos factores se ha convertido en una característica de seguridad estándar en ciberseguridad. Este formulario requiere que los usuarios verifiquen su identidad con un segundo paso de autenticación, generalmente una contraseña de un solo uso (OTP) enviada por mensaje de texto, correo electrónico o aplicación de autenticación.

Esta capa adicional de seguridad tiene como objetivo proteger la cuenta de un usuario incluso si su contraseña es robada. Sin embargo, los estafadores han utilizado métodos sofisticados para engañar a los usuarios para que revelen estas OTP, lo que les permite eludir las protecciones 2FA, a través de bots OTP.

OTP Bot es una herramienta sofisticada utilizada por los estafadores para interceptar códigos OTP mediante ataques de ingeniería social. Los atacantes a menudo intentan robar las credenciales de inicio de sesión de las víctimas utilizando métodos como el phishing o la explotación de vulnerabilidades de datos para robar información.

Luego inician sesión en la cuenta de la víctima, lo que activa el envío de un código OTP al teléfono de la víctima. A continuación, el bot OTP llamará automáticamente a la víctima, haciéndose pasar por un empleado de una organización confiable, utilizando un guión de conversación preprogramado para convencer a la víctima de que revele el código OTP. Finalmente, el atacante recibe el código OTP a través del bot y lo utiliza para obtener acceso no autorizado a la cuenta de la víctima.

Los estafadores prefieren usar llamadas de voz en lugar de mensajes de texto porque las víctimas tienden a responder más rápidamente a este método. En consecuencia, el bot OTP simulará el tono y la urgencia de un humano en la llamada para crear una sensación de confianza y persuasión.

Para utilizar un bot OTP, el estafador primero debe robar las credenciales de inicio de sesión de la víctima. A menudo utilizan sitios web de phishing diseñados para parecer idénticos a las páginas de inicio de sesión legítimas de bancos, servicios de correo electrónico u otras cuentas en línea. Cuando la víctima ingresa su nombre de usuario y contraseña, el estafador recopila automáticamente esta información al instante (en tiempo real).

Según las estadísticas de Kaspersky, del 1 de marzo al 31 de mayo de 2024, sus soluciones de seguridad evitaron 653.088 visitas a sitios web creados por kits de phishing dirigidos a bancos.

Los datos robados de estos sitios web a menudo se utilizan en ataques de bots OTP. Durante ese mismo período, la firma de ciberseguridad detectó 4.721 sitios web de phishing creados por kits de herramientas que tenían como objetivo eludir la autenticación de dos factores en tiempo real.

Solución

Si bien la 2FA es una medida de seguridad importante, no es una solución milagrosa. Para proteger a los usuarios de estas sofisticadas estafas, los expertos en ciberseguridad recomiendan:

- Evite hacer clic en enlaces incluidos en mensajes de correo electrónico sospechosos. Si un usuario necesita iniciar sesión en su cuenta en cualquier organización, ingrese la dirección exacta del sitio web o use un marcador.

- Asegúrese de que la dirección del sitio web sea correcta y esté libre de errores tipográficos. Puede utilizar la herramienta Whois para comprobar la información de registro del sitio web. Si el sitio web se registró recientemente, existe una gran posibilidad de que sea un sitio fraudulento.

- Nunca proporciones el código OTP por teléfono, no importa cuán convincente parezca la persona que llama. Los bancos y otras organizaciones confiables nunca piden a los usuarios que lean o ingresen un código OTP por teléfono para verificar su identidad.