Contents

O que são bots OTP?

As senhas de uso único (OTPs) podem não ser tão seguras quanto parecem, já que o aumento dos bots OTP lança uma sombra negra sobre o que deveria ser uma importante caraterística de segurança. Dado o quão comuns elas são, a crescente prevalência de bots OTP que visam esses sistemas é ainda mais preocupante. Aqui está tudo o que precisa de saber sobre eles para que possa ficar a salvo desta ameaça.

O que são senhas de uso único?

Para compreender a natureza dos bots de senha única (OTP), é imperativo ter uma compreensão completa do que constitui uma OTP no domínio digital. O próprio termo “One-Time Password” serve como uma indicação clara de que se trata de códigos temporários gerados após uma autenticação bem sucedida com outras informações essenciais, como um endereço de correio eletrónico e uma palavra-passe. Normalmente, estas palavras-passe expiram num curto espaço de tempo - entre 30 e 60 segundos - tornando-as inutilizáveis para outros logins posteriores.

O objetivo desta abordagem é impedir o acesso não autorizado por indivíduos que possam ter obtido a palavra-passe de um utilizador através de meios como o roubo, a adivinhação ou a utilização de técnicas de força bruta. Isto é conseguido exigindo que o indivíduo que tenta iniciar sessão forneça um código temporário que é enviado por chamada telefónica, mensagem de texto ou através de uma aplicação móvel dedicada. Ao implementar esta camada adicional de segurança, o sistema garante que apenas as pessoas com acesso autorizado possuem controlo sobre um dispositivo de confiança, tornando menos provável que os criminosos consigam entrar utilizando apenas palavras-passe roubadas.

Como é que os bots OTP funcionam?

/pt/images/robots-on-laptops.jpg

Com o uso generalizado de senhas de uso único (OTPs), alguns dispositivos móveis agora as descartam automaticamente após terem sido usadas para verificar uma conta. Esta ação destina-se a melhorar as medidas de segurança, eliminando as OTP não utilizadas da caixa de entrada do dispositivo e reduzindo o risco de acesso não autorizado. No entanto, esta ação também tornou os sistemas OTP vulneráveis a ataques de agentes maliciosos que procuram explorar as suas fraquezas. Estes criminosos empregam bots OTP que tentam entrar nestes sistemas através de um de dois métodos:

Um dos principais métodos utilizados pelos bots OTP (One-Time Password) envolve a manipulação de utilizadores desprevenidos para que divulguem os seus códigos de autenticação únicos. Isto é normalmente conseguido através do engano, com o bot a mascarar-se como o serviço alvo pretendido para obter as informações de verificação necessárias. Por exemplo, considere-se um cenário em que um indivíduo tenta aceder à sua conta bancária online.Após a introdução dos seus dados de início de sessão, pode aparecer uma mensagem fraudulenta que alega ser proveniente da instituição financeira, solicitando a confirmação do OTP associado enviado por texto, correio eletrónico ou chamada telefónica.

Para evitar levantar suspeitas e fornecer inadvertidamente informações sensíveis a um hacker, é crucial que a implementação de um mecanismo de resposta imediata coincida com a entrega do código de autorização. Essa abordagem garante que a prontidão do bot não pareça antinatural ou fora de lugar, minimizando assim o risco de acesso não autorizado à conta.

A outra maneira de os bots OTP funcionarem é interceptando a mensagem OTP antes que ela chegue até você. Quando bem-sucedido, este método pode ser menos suscetível de levantar alarmes, mas é mais difícil de conseguir. Há uma razão para que o relatório anual de investigação de violações de dados da Verizon tenha constatado que a maioria dos ataques envolve um elemento humano - as pessoas são frequentemente o elo mais fraco.

Como se defender contra bots de OTP

/pt/images/man-working-on-two-computers.jpg

Embora a ocorrência de ataques de bots de senha de uso único (OTP) seja desconcertante, é possível evitá-los com cautela. É aconselhável verificar consistentemente qualquer comunicação suspeita ou inesperada antes de tomar qualquer ação e, em caso de dúvida, abster-se de responder a mensagens não solicitadas.

Tendo em conta esta informação, recomenda-se que se informe junto da instituição financeira ou do fornecedor de serviços relevante para determinar se tentaram enviar palavras-passe únicas (OTP) sem qualquer ação prévia do utilizador. Na maioria dos casos, estas situações são pouco frequentes e, por isso, pode ser prudente não responder a um pedido de OTP quando não tiver sido feita qualquer tentativa de acesso a uma determinada conta ou plataforma.

Recomenda-se a ativação da autenticação multifactor (MFA) resistente a phishing, se estiver disponível, embora essas funcionalidades não estejam atualmente generalizadas. Ao contrário dos métodos MFA tradicionais, que dependem de uma combinação de algo que só o utilizador sabe e de algo que tem ou possui, a MFA resistente a phishing elimina a necessidade de introduzir dados do utilizador, utilizando algoritmos criptográficos e autenticação de dispositivos para validar as tentativas de início de sessão. Isto garante que quaisquer pedidos de palavra-passe de uso único (OTP) recebidos são fraudulentos, uma vez que os serviços legítimos não utilizariam este método para fins de verificação.

Embora a autenticação multifactor (MFA) que envolve palavras-passe de uso único (OTPs) seja frequentemente considerada segura, existem métodos alternativos que podem fornecer segurança adicional. Por exemplo, os identificadores biométricos, como o reconhecimento facial ou a leitura de impressões digitais, podem servir como alternativas viáveis em situações em que a MFA tradicional não está disponível.Embora seja tecnicamente viável para os atacantes contornarem a autenticação biométrica, esta abordagem é menos utilizada em comparação com os ataques centrados na palavra-passe. Consequentemente, a utilização de identificadores biométricos apresenta uma proteção relativamente mais robusta contra o acesso não autorizado.

Mantenha-se constantemente atento a qualquer comportamento invulgar que possa indicar acesso não autorizado. No caso de receber uma notificação de uma tentativa de início de sessão desconhecida, contacte imediatamente o fornecedor de serviços relevante. Além disso, é essencial atualizar a sua palavra-passe e comunicar quaisquer actividades suspeitas que ocorram nas suas contas e das quais não se lembre. Uma ação rápida é crucial para evitar que os ciberataques causem danos significativos.

A consciencialização é o primeiro passo para a segurança

A aquisição de conhecimentos sobre programas automatizados de senhas de uso único (OTP) constitui um passo inicial crucial para se proteger das suas potenciais ameaças. Ao estar ciente das características e padrões identificáveis associados a estes bots, é possível melhorar efetivamente as medidas de segurança pessoal.

É importante ter em mente que mesmo as medidas de segurança mais robustas podem ter vulnerabilidades. As senhas de uso único (OTPs) e as técnicas de autenticação multifator (MFA) desempenham um papel essencial na manutenção de práticas sólidas de segurança cibernética; no entanto, seria imprudente confiar exclusivamente nelas sem exercer prudência e estar atento a qualquer comportamento anómalo.