A Kaspersky localizou, em março de 2024, mais de 4 mil páginas de phishing utilizando um novo método de ataque que combina golpes com robôs automáticos (bots OTP) e páginas falsas para burlar a autenticação de dois fatores (2FA).

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga

Com sites maliciosos camuflados de bancos e demais serviços, os golpistas roubam credenciais das vítimas e lhe enviam um código automático de segurança. Para finalizar o crime, um suposto funcionário (robô) da empresa solicita esse código e, com isso, o golpista entra na conta.

A autenticação de dois fatores exige que uma identidade seja comprovada através de uma segunda forma de autenticação, normalmente uma senha de uso único (OTP) enviada por mensagem de texto, e-mail ou um aplicativo, fornecendo uma camada de proteção adicional.

Já o bot OTP utilizado pelos criminosos é um software automatizado que rouba senha de uso único por meio de técnicas de engenharia social. Frequentemente, eles utilizam sites de phishing que se parecem com as páginas de login oficiais de bancos, serviços de e-mail ou outras contas online.

Imagine que você está tentando entrar na sua conta online. Quando você coloca seu nome de usuário e senha, alguém mal-intencionado rouba essas informações imediatamente. Em seguida, o ladrão envia um código de segurança (OTP) para o seu celular.

Depois, você recebe uma ligação de um robô que finge ser um funcionário de uma empresa confiável. Esse robô usa uma gravação para te convencer a dizer ou digitar o código de segurança que você recebeu no celular. Quando você compartilha esse código, o ladrão consegue entrar na sua conta, usando as informações que você acabou de fornecer.

Os criminosos preferem realizar ligações ao invés de enviar mensagens, pois as chamadas aumentam as hipóteses da vítima responder rapidamente. O bot pode imitar o tom e a urgência de uma chamada legítima, tornando-a mais convincente.

Outra vantagem desses bots é que são controlados por painéis online ou por plataformas de mensagem como o Telegram. Além disso, eles possuem várias funcionalidades e planos de assinatura: podem ser personalizados para se passar por diferentes organizações, usar diferentes idiomas e até escolher entre vozes masculinas e femininas. As opções avançadas incluem a falsificação de números de telefone, fazendo com que o identificador de chamadas pareça vir de uma organização legítima.

“Está cada vez mais fácil e automatizado burlar o 2FA. Antes o criminoso fazia manualmente, no estilo ‘man-in-the-middle’, onde ele esperava a vitima informar o token e, manualmente, na sessão de acesso da vítima, solicitava o token para a vítima, afirma Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.

“Hoje, com os bots, esse processo se automatizou. Para nos protegermos, é crucial estar atento e usar das melhores práticas de cibersegurança para não se tornar uma vítima”, completa.

Mesmo que a autenticação de dois fatores (2FA) seja uma medida de cibersegurança importante, não é infalível. Para se proteger desses esquemas sofisticados, a Kaspersky recomenda:

• Verifique automaticamente vazamentos de dados que afetem suas contas vinculadas a endereços de e-mail e números de telefone, tanto seus quanto de sua família. Se uma violação for detectada, no mínimo, altere sua senha imediatamente.
• Crie senhas fortes e exclusivas para todas as suas contas. Os golpistas só poderão atacar você com bots de OTP se souberem sua senha. Portanto, gere senhas complexas e armazene-as com segurança.
• Esteja atento se está em um site legítimo antes de inserir informações pessoais. Um dos truques usados pelos golpistas é direcionar o usuário para um site de phishing, substituindo alguns caracteres na barra de endereços.
• Nunca compartilhe OTPs com ninguém, nem as insira no teclado do telefone durante uma chamada. Lembre-se de que funcionários legítimos de bancos, lojas ou prestadores de serviços, ou mesmo autoridades, nunca solicitarão sua OTP.