新しい形態のフィッシング攻撃が増加

二要素認証は、サイバーセキュリティにおける標準的なセキュリティ機能となっています。このフォームでは、ユーザーは 2 番目の認証手順 (通常はテキスト メッセージ、電子メール、または認証アプリ経由で送信されるワンタイム パスワード (OTP)) を使用して本人確認を行う必要があります。

この追加のセキュリティ層は、パスワードが盗まれた場合でもユーザーのアカウントを保護することを目的としています。しかし、詐欺師は高度な手法を使用してユーザーを騙し、これらの OTP を明らかにさせ、OTP ボット経由で 2FA 保護を回避できるようにしています。

OTP ボットは、ソーシャル エンジニアリング攻撃を通じて OTP コードを傍受するために詐欺師が使用する高度なツールです。攻撃者は多くの場合、フィッシングやデータの脆弱性を悪用した情報窃盗などの方法を使用して、被害者のログイン認証情報を盗もうとします。

次に、被害者のアカウントにログインし、被害者の携帯電話に OTP コードを送信します。次に、OTP ボットは信頼できる組織の従業員になりすまして被害者に自動的に電話をかけ、事前にプログラムされた会話スクリプトを使用して、被害者に OTP コードを明かすよう説得します。最後に、攻撃者はボットを通じて OTP コードを受信し、それを使用して被害者のアカウントに不正にアクセスします。

詐欺師は、被害者が音声通話のほうが早く反応する傾向があるため、テキスト メッセージよりも音声通話を好みます。したがって、OTP ボットは、通話中の人間の口調と緊急性をシミュレートして、信頼感と説得感を生み出します。

OTP ボットを使用するには、詐欺師はまず被害者のログイン資格情報を盗む必要があります。多くの場合、銀行、電子メール サービス、その他のオンライン アカウントの正規のログイン ページとまったく同じに見えるように設計されたフィッシング Web サイトが使用されます。被害者がユーザー名とパスワードを入力すると、詐欺師は即座に（リアルタイムで）この情報を自動的に収集します。

カスペルスキーの統計によると、2024年3月1日から5月31日までの間に、同社のセキュリティソリューションは、銀行を狙ったフィッシングツールキットによって作成されたウェブサイトへの653,088件のアクセスを阻止しました。

これらの Web サイトから盗まれたデータは、OTP ボット攻撃でよく使用されます。同じ期間に、サイバーセキュリティ企業は、2要素認証をリアルタイムで回避することを目的としたツールキットによって作成されたフィッシングウェブサイトを4,721件検出した。

解決

2FA は重要なセキュリティ対策ですが、万能薬ではありません。このような巧妙な詐欺からユーザーを守るために、サイバーセキュリティの専門家は次のことを推奨しています。

- 疑わしい電子メール メッセージ内のリンクをクリックしないでください。ユーザーが組織のアカウントにログインする必要がある場合は、正確な Web サイト アドレスを入力するか、ブックマークを使用します。

- ウェブサイトのアドレスが正しく、誤字脱字がないことを確認してください。 Whois ツールを使用して、Web サイトの登録情報を確認できます。ウェブサイトが最近登録された場合、詐欺サイトである可能性が高いです。

- 発信者がいかに説得力があるように見えても、電話で OTP コードを決して提供しないでください。銀行やその他の信頼できる組織は、ユーザーの本人確認のために電話で OTP コードを読み取ったり入力したりするように要求することはありません。