Jednokratne lozinke (OTP) možda nisu toliko sigurne kao što se čini, jer sve veći broj OTP botova baca senku na ono što bi trebalo da bude važna bezbednosna karakteristika. S obzirom na to koliko su česte, sve veća učestalost OTP botova koji ciljaju na ove sisteme je sve više zabrinjavajuća. Evo svega što treba da znate o njima da biste se zaštitili od ove pretnje.
Šta su jednokratne lozinke?
Da biste razumeli OTP botove, prvo morate da razumete same OTP. Kao što ime sugeriše, jednokratna lozinka je privremeni kod za prijavu koji dobijate nakon što unesete druge akreditive kao što su vaša adresa e-pošte i lozinka. Obično traju samo 30 do 60 sekundi pre nego što više ne dozvoljavaju pristup nalogu.
Ideja ovde je da sprečite ljude koji su možda ukrali, pogodili ili preuzeli vašu lozinku. Slanjem jednokratnog koda putem poziva, SMS-a ili namenske mobilne aplikacije, usluga osigurava da osoba koja se prijavljuje takođe ima pristup pouzdanom uređaju. Krađa lozinke je relativno laka, ali nije verovatno da kriminalac ima vašu lozinku i vaš telefon.
Kako rade OTP botovi?
OTP-ovi su postali toliko uobičajeni da neki telefoni sada automatski brišu ove verifikacione kodove iz prijemnog sandučeta. Iako bi to trebalo da znači da su vaši online nalozi sigurniji nego ikad, sami OTP sistemi su postali meta sajber kriminalaca. OTP botovi ciljaju ove sisteme na jedan od dva načina.
Prvi i najčešći način na koji rade OTP botovi je da prevare korisnike da otkriju svoje jednokratne kodove. Da bi to uradili, često se lažno predstavljaju kao usluga na koju pokušavaju da se prijave. Zamislite da sajber kriminalac pokušava da se prijavi na vaš bankovni račun online. Kada unesu vaše akreditive, bot će vam poslati poruku, e-poštu ili pozvati, pretvarajući se da je banka koja traži vaš kod.
Pošto botovi deluju odmah, taj zahtev bi trebalo da stigne u isto vreme kada i poruka koja nosi vaš kod, tako da možda ne deluje sumnjivo. Zatim možete da odgovorite sa OTP-om, slučajno ga pošaljete hakeru, koji ga onda može koristiti za pristup vašem nalogu.
Drugi način na koji funkcionišu OTP botovi je presretanje OTP poruke pre nego što stigne do vas. Kada je uspešan, ova metoda će možda biti manje verovatno da će izazvati alarm, ali je teže izvesti. Postoji razlog zašto Verizonov godišnji izveštaj o istrazi kršenja podataka otkriva da većina napada uključuje ljudski element – ljudi su često najslabija karika.
Kako se braniti od OTP botova
Napadi OTP bota su alarmantni, ali možete ih zaustaviti. Ne zaboravite da uvek proverite pre nego što poverujete bilo čemu, i pogrešite na strani ne odgovaranja na neželjene zahteve.
U ovom kontekstu, to znači da proverite kod svoje banke ili druge službe da biste videli da li su ikada kontaktirali u vezi sa jednokratnim prijavama bez vaše akcije. Većina ne, tako da je generalno najbolje da ne odgovarate na OTP zahtev ako niste pokušali da se prijavite na bilo šta.
Ako su dostupne, trebalo bi da omogućite MFA funkcije otporne na fišing, iako one još nisu uobičajene. MFA otporan na „pecanje“ uklanja ljudski element iz jednačine, umesto toga koristi kriptografiju i autentifikaciju uređaja za verifikaciju pokušaja prijavljivanja. Na taj način ćete znati da su svi OTP zahtevi prevara, jer ih prava usluga neće koristiti.
Čak i tamo gde ta vrsta MFA nije dostupna, možda ćete moći da uključite faktore identifikacije osim OTP-ova. Biometrija kao što je prepoznavanje lica ili skeniranje otiska prsta je odlična opcija. Iako je moguće zaobići biometrijsku autentifikaciju, ona je veoma tehnička i nije tako uobičajena kao napadi fokusirani na lozinku, tako da su ovi faktori i dalje sigurniji od OTP-ova.
Konačno, uvek budite u potrazi za sumnjivim aktivnostima. Ako dobijete obaveštenje o pokušaju prijave kojeg se ne sećate ili znate da to niste bili vi, odmah kontaktirajte dotičnu uslugu. Slično tome, promenite svoje lozinke i kontaktirajte kompaniju ako primetite aktivnost na nekim nalozima kojih se ne sećate. Brzo delovanje je ključ za zaustavljanje napada pre nego što izazovu veliku štetu.
Svest je prvi korak ka bezbednosti
Učenje o OTP botovima je prvi korak u zaštiti od njih. Kada budete znali na šta da pazite, razumećete kako da ostanete sigurni.
Zapamtite da nijedan sigurnosni sistem nije 100 posto pouzdan. OTP i druge MFA metode su ključni deo dobre sajber bezbednosti, ali nisu savršene. Shodno tome, uvek treba da pristupate stvarima sa oprezom i pazite na sumnjive aktivnosti.