A Kaspersky localizou em março de 2024 mais de 4 mil páginas de phishing utilizando um novo método de ataque que combina golpes com robôs automáticos (bots OTP) e páginas falsas para burlar a autenticação de dois fatores (2FA).
Com sites maliciosos camuflados de bancos e demais serviços, os golpistas roubam credenciais das vítimas e lhe enviam um código automático de segurança. Para finalizar o crime, um suposto funcionário (robô) da empresa solicita esse código e, com isso, o golpista entra na conta.
A autenticação de dois fatores exige que uma identidade seja comprovada por uma segunda forma de autenticação, normalmente uma senha de uso único (OTP) enviada por mensagem de texto, e-mail ou um aplicativo, fornecendo uma camada de proteção adicional.
Já o bot OTP utilizado pelos criminosos é um software automatizado que rouba senha de uso único por meio de técnicas de engenharia social. Frequentemente, eles utilizam sites de phishing que se parecem com as páginas de login oficiais de bancos, serviços de e-mail ou outras contas online.
Imagine que você está tentando entrar na sua conta online. Quando você coloca seu nome de usuário e senha, alguém mal-intencionado rouba essas informações imediatamente. Em seguida, o ladrão envia um código de segurança (OTP) para o seu celular.
Depois, você recebe uma ligação de um robô que finge ser um funcionário de uma empresa confiável. Esse robô usa uma gravação para te convencer a dizer ou digitar o código de segurança que você recebeu no celular. Quando você compartilha esse código, o ladrão consegue entrar na sua conta, usando as informações que você acabou de fornecer.
Os criminosos preferem realizar ligações ao invés de enviar mensagens, pois as chamadas aumentam as hipóteses da vítima responder rapidamente. O bot pode imitar o tom e a urgência de uma chamada legítima, tornando-a mais convincente. Outra vantagem desses bots é que são controlados por painéis online ou por plataformas de mensagem como o Telegram.
Além disso, eles possuem várias funcionalidades e planos de assinatura: podem ser personalizados para se passar por diferentes organizações, usar diferentes idiomas e até escolher entre vozes masculinas e femininas. As opções avançadas incluem a falsificação de números de telefone, fazendo com que o identificador de chamadas pareça vir de uma organização legítima.
“Está cada vez mais fácil e automatizado burlar o 2FA. Antes o criminoso fazia manualmente, no estilo “man-in-the-middle”, onde ele esperava a vítima informar o token e, manualmente, na sessão de acesso da vítima, solicitava o token para a vítima. Hoje, com os bots, esse processo se automatizou. Para nos protegermos, é crucial estar atento e usar das melhores práticas de cibersegurança para não se tornar uma vítima”, afirma Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
Mesmo que a autenticação de dois fatores (2FA) seja uma medida de cibersegurança importante, não é infalível. Para se proteger desses esquemas sofisticados, a Kaspersky recomenda verificar automaticamente vazamentos de dados que afetem contas vinculadas a endereços de e-mail e números de telefone. Se uma violação for detectada, no mínimo, as senhas devem ser alteradas imediatamente.
Importante criar senhas fortes e exclusivas para todas as contas. Os golpistas só poderão atacar com bots de OTP se souberem a senha. Portanto, elas devem ser complexas e arquivadas com segurança. Um dos truques usados pelos golpistas também é direcionar o usuário para um site de phishing, substituindo alguns caracteres na barra de endereços. Antes de inserir informações pessoais, o endereço deve ser garantido.
OTPs nunca devem ser compartilhados com ninguém, nem inseridos no teclado do telefone durante uma chamada. Funcionários legítimos de bancos, lojas ou prestadores de serviços, ou mesmo autoridades, nunca solicitarão uma OTP.
