Engangspassord (OTP) er kanskje ikke så sikre som de ser ut til, ettersom en økning i OTP-roboter kaster en mørk skygge over det som burde være en viktig sikkerhetsfunksjon. Gitt hvor vanlige de er, er den økende utbredelsen av OTP-roboter som retter seg mot disse systemene desto mer bekymringsfull. Her er alt du trenger å vite om dem slik at du kan holde deg trygg fra denne trusselen.
Innholdsfortegnelse
Hva er engangspassord?
For å forstå OTP-roboter, må du først forstå OTP-er selv. Som navnet antyder, er et engangspassord en midlertidig påloggingskode du får etter å ha skrevet inn annen legitimasjon som e-postadresse og passord. De varer vanligvis bare 30 til 60 sekunder før de ikke lenger gir tilgang til en konto.
Ideen her er å stoppe folk som kan ha stjålet, gjettet eller brutalt tvunget passordet ditt. Ved å sende en engangskode via samtale, tekstmelding eller dedikert mobilapp, sikrer tjenesten at personen som logger på også har tilgang til en pålitelig enhet. Å stjele et passord er relativt enkelt, men det er ikke sannsynlig at en kriminell har passordet ditt og telefonen din.
Hvordan fungerer OTP-bots?
OTP-er har blitt så vanlige at noen telefoner nå automatisk sletter disse bekreftelseskodene, tømmer innboksen. Selv om det burde bety at nettkontoene dine er sikrere enn noen gang, har det gjort OTP-systemer til et mål for nettkriminelle. OTP-roboter retter seg mot disse systemene på en av to måter.
Den første og vanligste måten OTP-roboter fungerer på er ved å lure brukere til å avsløre engangskodene deres. For å gjøre det utgir de seg ofte for tjenesten de prøver å logge på. Tenk deg at en nettkriminell prøver å logge på nettbankkontoen din. Når de skriver inn legitimasjonen din, sender en bot en tekstmelding, e-post eller ringer deg, og utgir seg for å være banken som ber om koden din.
Fordi roboter handler umiddelbart, bør den forespørselen komme samtidig med meldingen som inneholder koden din, så det kan ikke virke mistenkelig. Du kan da svare med OTP, ved et uhell sende den til hackeren, som deretter kan bruke den til å få tilgang til kontoen din.
Den andre måten OTP-roboter fungerer på er ved å fange opp OTP-meldingen før den når deg. Når den lykkes, kan det være mindre sannsynlig at denne metoden utløser alarmer, men det er vanskeligere å gjennomføre. Det er en grunn Verizons årlige undersøkelsesrapport om databrudd fant at de fleste angrep involverer et menneskelig element – mennesker er ofte det svakeste leddet.
Hvordan forsvare seg mot OTP-boter
OTP-botangrep er alarmerende, men du kan stoppe dem. Husk å alltid bekrefte før du stoler på noe, og ta feil av å ikke svare på uønskede forespørsler.
I denne sammenhengen betyr det at du sjekker med banken din eller en annen tjeneste for å se om de noen gang tar kontakt om engangstjenester uten å gjøre noe fra din side. De fleste gjør det ikke, så det er generelt best å ikke svare på en OTP-forespørsel hvis du ikke prøvde å logge på noe.
Hvis tilgjengelig, bør du aktivere phishing-resistente MFA-funksjoner, selv om disse ikke er vanlige ennå. Phishing-resistent MFA fjerner det menneskelige elementet fra ligningen, i stedet bruker kryptografi og enhetsautentisering for å bekrefte påloggingsforsøk. På den måten vil du vite at alle OTP-forespørsler er svindel, siden den virkelige tjenesten ikke vil bruke dem.
Selv der den typen MFA ikke er tilgjengelig, kan du kanskje slå på andre identifikasjonsfaktorer enn OTP-er. Biometri som ansiktsgjenkjenning eller fingeravtrykkskanning er et flott alternativ. Selv om det er mulig å omgå biometrisk autentisering, er det svært teknisk og ikke så vanlig som passordfokuserte angrep, så disse faktorene er fortsatt tryggere enn OTP-er.
Til slutt, vær alltid på utkikk etter mistenkelig aktivitet. Hvis du får melding om et påloggingsforsøk du ikke husker eller vet at ikke var deg, ta kontakt med den aktuelle tjenesten umiddelbart. På samme måte kan du endre passordene dine og kontakte selskapet hvis du oppdager aktivitet på kontoer du ikke husker. Å handle raskt er nøkkelen til å stoppe angrep før de forårsaker mye skade.
Bevissthet er det første skrittet mot sikkerhet
Å lære om OTP-roboter er det første trinnet i å beskytte mot dem. Når du vet hva du skal passe på, vil du forstå hvordan du kan holde deg trygg.
Husk at ingen sikkerhetssystemer er 100 prosent pålitelige. OTP-er og andre MFA-metoder er en avgjørende del av god cybersikkerhet, men de er ikke perfekte. Derfor bør du alltid nærme deg ting med forsiktighet og se etter mistenkelig aktivitet.