A autenticação em dois passos é um escudo contra o phishing, o roubo de contas e outras ameaças dos ciberdelincuentes. Quando se activa, ao utente não lhe basta com introduzir uma sozinha senha para aceder a um lugar ou a um documento, sina que deve acrescentar um código (que se costuma enviar ao móvel do utente por SMS ), um padrão de desbloqueio ou uma impressão digital.
Tal e como explicam desde a empresa Kaspersky, especializada em ciberseguridad, os lugares geralmente enviam um código de verificação em forma de texto, correio electrónico, notificação push, mensagem instantânea ou inclusive chamada de voz. Mas inclusive com esta segunda capa de protecção "as contas pessoais seguem sendo vulneráveis aos bots de OTP, um software automatizado que engana aos utentes para que revelem seus OTP mediante engenharia social".
Que é um bot de OTP
Estes bots, segundo Kaspersky, controlam-se através de um painel de controle num navegador site ou através de Telegram e fazem-se passar por organizações legítimas, como bancos , para enganar às vítimas. Assim, são programas ou sistemas informáticos maliciosos desenhados para obter senhas de um sozinho uso (OTP) de utentes desprevenidos. Não faz falta ser um génio da programação para os utilizar, o que incrementa sua peligrosidad.
O engano funciona da seguinte maneira: a vítima recebe em seu telefone uma senha de um sozinho uso que não tem solicitado e, a seguir, o bot OTP lhe chama e utiliza um script preparado para a convencer de que lhe comunique dito código. Pode fazer-se, por exemplo, fingindo que há um problema com a app do banco que deve se resolver.
Obter acesso às contas
A vítima, preocupada, segue ao pé da letra as instruções do timador. Quando introduz o código no teclado de seu telefone sem pendurar o telefonema, esse mesmo código ingressa a sua vez no painel de administração do atacante ou o bot. Assim, o timador já pode caçar a sua vítima: introduz o código no recurso desejado e obtém acesso à conta do afectado.
O mais importante para o bot é resultar persuasivo. Em ocasiões gera uma voz ou um acento específico com IA.
Como se proteger
Para manter-se protegido, Kaspersky recomenda estar ao tanto das filtragens. Por exemplo, se um utente é cliente de Banco Santander e inteira-se de que a empresa tem sofrido um hackeo em massa, deve actuar rápido e mudar suas chaves o quanto antes. Também convém suspeitar de qualquer OTP que se receba sem a ter solicitado, ter senhas únicas para a cada conta e não introduzir os dados em ficheiros ou formulários suspeitos.
Outro conselho útil é revisar bem as URL. "Um dos truques preferidos dos estafadores é dirigir a um lugar de phishing mediante a substituição de um par de caracteres na barra de direcções. Toma-te sempre um momento para verificar que te encontras num lugar legítimo dantes de introduzir dados confidenciais", apontam.