I codici di accesso temporanei (OTP) sono una parte fondamentale dell’autenticazione a due fattori (2FA) e dell’autenticazione a più fattori (MFA).

Quando accedi a un account o verifichi una transazione, li ricevi tramite email, SMS o app di autenticazione per confermare la tua identità.

Ora, i criminali informatici hanno trovato un modo per aggirare queste protezioni utilizzando i bot OTP.

Che cos’è un bot OTP?

Un bot OTP è un programma software automatizzato che intercetta o ruba i codici di accesso temporanei utilizzati per verificare la tua identità. L’obiettivo è assumere il controllo del tuo account in quello che viene definito un attacco di violazione dell’account (o ATO).

I criminali informatici possono acquistare attacchi tramite bot OTP nei mercati clandestini, spesso via Telegram, a partire da soli 10 $. Questo approccio economico e scalabile consente ai malintenzionati di colpire molte persone contemporaneamente con il minimo sforzo.

Come funzionano i bot OTP

I bot OTP sono progettati per sfruttare il tempo che intercorre tra la ricezione di una password monouso e il momento in cui la inserisci nell’app o nel sito web. Questa finestra temporale è spesso inferiore a un minuto.

In genere, i criminali informatici intercettano il codice in tre modi:

Violazione dell’account tramite bot OTP mediante ingegneria sociale

    Il malintenzionato utilizza credenziali rubate o trapelate per attivare la fase OTP su un sito legittimo. Un bot ti contatta quindi tramite SMS o telefonata, utilizzando uno script progettato per creare urgenza, ad esempio impersonando il team antifrode di una banca. Se condividi l’OTP, il bot lo trasmette al malintenzionato in tempo reale, consentendogli di accedere al tuo account. L’utente malintenzionato può quindi modificare le credenziali di accesso e impedirti l’accesso.

    Violazione dell’account tramite bot OTP mediante intercettazione

      Utilizzando credenziali rubate per attivare l’OTP, il bot tenta di intercettare il codice prima che ti raggiunga. I metodi comuni includono:

      • Attacco SIM swap: l’attaccante convince un operatore di telefonia mobile a trasferire il tuo numero di telefono su una scheda SIM sotto il suo controllo, in modo che i codici SMS vengano recapitati direttamente a lui. 
      • Sfruttamento delle API: il bot prende di mira API di autenticazione poco sicure per acquisire gli OTP mentre vengono generati. 
      • Forza bruta: l’attaccante prova tutte le possibili combinazioni di brevi OTP numerici, il che è possibile quando il sito web o l’app che stai utilizzando non ha impostato un limite per le richieste ripetute.

      Violazione dell’account tramite bot OTP mediante attacco relay

        Questa variante non si basa su credenziali rubate. Al contrario, ti induce a fornire a un utente malintenzionato sia i tuoi dati di accesso che il tuo OTP. Finisci su un sito web falso che assomiglia a quello reale e inserisci le tue credenziali. Il bot utilizza immediatamente tali credenziali per accedere al sito web reale, il che attiva un OTP inviato al tuo telefono. Il sito web falso ti chiede quindi di inserire il codice, che il bot trasmette al sito web reale in tempo reale. Ciò consente al malintenzionato di completare l’accesso prima che il codice scada.

        Come per le altre varianti, l’attaccante può quindi modificare le credenziali e impedirti di accedere al tuo account.

        In che modo un bot OTP può influire sulla tua attività

        La facilità di ottenere servizi di bot OTP aumenterà probabilmente gli attacchi alle aziende. Sebbene il settore bancario e l’e-commerce siano bersagli comuni, qualsiasi settore può esserne colpito. Le piccole e medie imprese (PMI) sono spesso prese di mira con maggiore frequenza(nuova finestra).

        Le perdite finanziarie possono essere significative, ma non sono l’unico rischio che dovresti considerare.

        Per quanto le perdite finanziarie possano essere dannose per un’organizzazione, questa non è l’unica perdita che dovrebbe preoccupare i titolari di aziende.

        Perdita della fiducia dei clienti

        La fiducia dei clienti spesso diminuisce dopo una violazione dei dati(nuova finestra). Uno studio del 2024 condotto da Vercara(nuova finestra) ha rilevato che il 58% dei consumatori considera inaffidabili i marchi interessati e il 70% smetterebbe di fare acquisti presso un marchio dopo un incidente di sicurezza.

        Rischi di conformità normativa

        Anche se non vengono rubati fondi, la tua attività potrebbe incorrere in sanzioni per il mancato rispetto dei requisiti di protezione dei dati. Ad esempio, il Regolamento generale sulla protezione dei dati (GDPR) si applica a qualsiasi organizzazione che tratta i dati personali dei residenti nell’UE, indipendentemente dalla posizione o dalle dimensioni dell’azienda. Le sanzioni in caso di non conformità possono essere sostanziali.

        Come proteggere la tua attività dai bot OTP

        Dato che l’errore umano è la cosa più difficile da cui proteggersi, le aziende dovrebbero implementare quante più tutele tecniche possibili. Queste potrebbero includere:

        Limitazione della frequenza e throttling

        Limita il numero di richieste di codici di accesso temporanei (OTP) che possono essere effettuate da un singolo indirizzo IP, numero di telefono o account entro un intervallo di tempo prestabilito. Questo impedisce ai malintenzionati di inondare i tuoi sistemi con richieste automatizzate.

        CAPTCHA e analisi comportamentale

        Utilizza i test CAPTCHA in caso di attività sospette e applica l’analisi comportamentale per rilevare pattern non umani, come l’invio rapido di moduli o movimenti del mouse non realistici.

        Device fingerprinting

        Monitora le caratteristiche dei dispositivi per identificare i trasgressori abituali e segnala i dispositivi che effettuano più richieste OTP su account diversi.

        Autenticazione a più fattori oltre l’OTP

        Aggiungi metodi di autenticazione più forti, come chiavi di sicurezza hardware, verifica biometrica o notifiche push, per ridurre la dipendenza dal solo OTP.

        Rafforzamento della sicurezza delle API

        Proteggi le tue API OTP richiedendo l’autenticazione, firmando le richieste, convalidando gli input e utilizzando canali di comunicazione sicuri per prevenire intercettazioni o manipolazioni.

        Monitoraggio e rilevamento

        Monitora i modelli di utilizzo per identificare comportamenti insoliti che potrebbero indicare l’attività di bot. Utilizza avvisi in tempo reale per rilevare picchi nelle richieste di OTP o accessi geografici imprevisti. Controlla regolarmente i log per rilevare tempestivamente le minacce.

        Come proteggerti dai bot OTP

        I bot OTP possono essere pericolosi, ma puoi seguire dei semplici passaggi per proteggere i tuoi account.

        Usa password complesse e univoche o chiavi di accesso

        Usa un gestore di password aziendale per generare e memorizzare credenziali univoche per ciascun account. Se possibile, usa le chiavi di accesso, che eliminano la necessità di password monouso (OTP).

        Usa una chiave di sicurezza hardware

        Le chiavi di sicurezza fisiche, come YubiKey, offrono una forte protezione contro gli attacchi automatizzati perché richiedono l’accesso fisico al tuo dispositivo.

        Fai attenzione ai tentativi di phishing

        Diffida dei messaggi non richiesti che chiedono codici di verifica. Un OTP è pensato per essere inserito in un sito web o in un’app, non per essere condiviso con nessuno.

        Monitora l’attività del tuo account

        Controlla regolarmente la cronologia degli accessi e le impostazioni dell’account per rilevare attività insolite.

        Usa un’app di autenticazione invece degli SMS

        Le password monouso a tempo (TOTP) — codici generati da un’app di autenticazione — sono più sicure degli OTP basati su SMS, che possono essere intercettati tramite attacchi di SIM swapping.

        Una buona igiene delle password è la tua prima linea di difesa

        Combinare solide misure di protezione tecniche con una buona igiene delle credenziali aiuta notevolmente a tenere lontani i malintenzionati.

        Un gestore di password aziendale è uno degli strumenti più semplici ed efficaci che puoi utilizzare: garantisce che i dipendenti non riutilizzino password deboli su più account, che è esattamente il tipo di vulnerabilità che i bot OTP sono progettati per sfruttare.

        Associalo a metodi di autenticazione resistenti al phishing e a una cultura di consapevolezza della sicurezza, e renderai la tua azienda un bersaglio molto più difficile.