Engangsadgangskoder (OTP’er) er muligvis ikke så sikre, som de ser ud til, da en stigning i OTP-bots kaster en mørk skygge over, hvad der burde være en vigtig sikkerhedsfunktion. I betragtning af hvor almindelige de er, er den voksende udbredelse af OTP-bots, der målretter mod disse systemer, så meget desto mere bekymrende. Her er alt, hvad du behøver at vide om dem, så du kan forblive sikker fra denne trussel.
Indholdsfortegnelse
Hvad er engangsadgangskoder?
For at forstå OTP-bots skal du først forstå OTP’erne selv. Som navnet antyder, er en engangsadgangskode en midlertidig loginkode, du får efter at have indtastet andre legitimationsoplysninger som din e-mailadresse og adgangskode. De varer typisk kun 30 til 60 sekunder, før de ikke længere giver adgang til en konto.
Ideen her er at stoppe folk, der måske har stjålet, gættet eller brutalt tvunget dit kodeord. Ved at sende en engangskode via opkald, sms eller dedikeret mobilapp sikrer tjenesten, at den person, der logger ind, også har adgang til en betroet enhed. Det er relativt nemt at stjæle en adgangskode, men det er ikke sandsynligt, at en kriminel har din adgangskode og din telefon.
Hvordan fungerer OTP-bots?
OTP’er er blevet så almindelige, at nogle telefoner nu automatisk sletter disse bekræftelseskoder, rydder indbakken. Selvom det burde betyde, at dine onlinekonti er mere sikre end nogensinde før, har det gjort OTP-systemer selv til et mål for cyberkriminelle. OTP-bots målretter mod disse systemer på en af to måder.
Den første og mest almindelige måde, OTP-bots fungerer på, er ved at narre brugere til at afsløre deres engangskoder. For at gøre det efterligner de ofte den tjeneste, de prøver at logge på. Forestil dig, at en cyberkriminel forsøger at logge ind på din netbankkonto. Når de indtaster dine legitimationsoplysninger, sender en bot en sms, e-mail eller ringer til dig og foregiver at være banken, der beder om din kode.
Fordi bots handler med det samme, bør denne anmodning komme samtidig med meddelelsen med din kode, så det virker måske ikke mistænkeligt. Du kan derefter svare med OTP’en og ved et uheld sende det til hackeren, som derefter kan bruge det til at få adgang til din konto.
Den anden måde OTP-bots fungerer på er ved at opsnappe OTP-meddelelsen, før den når dig. Når den lykkes, kan denne metode være mindre tilbøjelig til at udløse alarmer, men den er sværere at afbryde. Det er der en grund til Verizons årlige undersøgelsesrapport om databrud fandt ud af, at de fleste angreb involverer et menneskeligt element – mennesker er ofte det svageste led.
Sådan forsvarer du dig mod OTP-bots
OTP-botangreb er alarmerende, men du kan stoppe dem. Husk altid at bekræfte, før du stoler på noget, og tage fejl af ikke at svare på uopfordrede anmodninger.
I denne sammenhæng betyder det, at du tjekker med din bank eller en anden tjeneste for at se, om de nogensinde når ud om OTP’er uden handling fra din side. De fleste gør det ikke, så det er generelt bedst ikke at besvare en OTP-anmodning, hvis du ikke forsøgte at logge på noget.
Hvis de er tilgængelige, bør du aktivere phishing-resistente MFA-funktioner, selvom disse ikke er almindelige endnu. Phishing-resistent MFA fjerner det menneskelige element fra ligningen og bruger i stedet kryptografi og enhedsgodkendelse til at verificere loginforsøg. På den måde ved du, at alle OTP-anmodninger er svindel, da den rigtige tjeneste ikke vil bruge dem.
Selv hvor den slags MFA ikke er tilgængelig, kan du muligvis aktivere andre identifikationsfaktorer end OTP’er. Biometri som ansigtsgenkendelse eller fingeraftryksscanninger er en god mulighed. Selvom det er muligt at omgå biometrisk autentificering, er det meget teknisk og ikke så almindeligt som password-fokuserede angreb, så disse faktorer er stadig sikrere end OTP’er.
Vær endelig altid på udkig efter mistænkelig aktivitet. Hvis du får besked om et login-forsøg, du ikke kan huske eller ved ikke var dig, skal du straks kontakte den pågældende tjeneste. På samme måde skal du ændre dine adgangskoder og kontakte virksomheden, hvis du bemærker aktivitet på konti, du ikke kan huske. At handle hurtigt er nøglen til at stoppe angreb, før de forårsager meget skade.
Bevidsthed er det første skridt mod sikkerhed
At lære om OTP-bots er det første skridt i at beskytte mod dem. Når du ved, hvad du skal passe på, vil du forstå, hvordan du forbliver sikker.
Husk, at intet sikkerhedssystem er 100 procent pålideligt. OTP’er og andre MFA-metoder er en afgørende del af god cybersikkerhed, men de er ikke perfekte. Derfor bør du altid forholde dig til tingene med forsigtighed og holde øje med mistænkelig aktivitet.