رمزهای عبور یکبار مصرف (OTP) ممکن است آنقدر که به نظر می رسد ایمن نباشند، زیرا افزایش ربات های OTP سایه تاریکی را بر آنچه باید یک ویژگی امنیتی مهم باشد می افکند. با توجه به رایج بودن آنها، شیوع رو به رشد ربات های OTP که این سیستم ها را هدف قرار می دهند، نگران کننده تر است. در اینجا همه چیزهایی است که باید در مورد آنها بدانید تا بتوانید از این تهدید در امان بمانید.
رمزهای یکبار مصرف چیست؟
برای درک ربات های OTP، ابتدا باید خود OTP ها را درک کنید. همانطور که از نام آن پیداست، رمز عبور یکبار مصرف، یک کد ورود موقت است که پس از وارد کردن سایر اطلاعات کاربری مانند آدرس ایمیل و رمز عبور خود، دریافت می کنید. آنها معمولاً فقط 30 تا 60 ثانیه دوام می آورند تا اینکه دیگر اجازه دسترسی به یک اکانت را ندهند.
ایده در اینجا جلوگیری از افرادی است که ممکن است رمز عبور شما را دزدیده باشند، حدس بزنند یا به زور اجباری کرده باشند. با ارسال یک کد یکبار مصرف از طریق تماس، پیامک یا برنامه اختصاصی تلفن همراه، این سرویس تضمین می کند که شخصی که وارد سیستم می شود به یک دستگاه قابل اعتماد نیز دسترسی دارد. سرقت رمز عبور نسبتاً آسان است، اما به احتمال زیاد یک مجرم رمز عبور و تلفن شما را ندارد.
ربات های OTP چگونه کار می کنند؟
OTP ها آنقدر رایج شده اند که اکنون برخی از تلفن ها به طور خودکار این کدهای تأیید را حذف می کنند و صندوق ورودی را پاک می کنند. در حالی که این بدان معناست که حسابهای آنلاین شما امنتر از همیشه هستند، سیستمهای OTP خود را به هدفی برای مجرمان سایبری تبدیل کرده است. ربات های OTP این سیستم ها را به یکی از دو روش مورد هدف قرار می دهند.
اولین و رایج ترین روش کار ربات های OTP این است که کاربران را فریب می دهند تا کدهای یکبار مصرف خود را فاش کنند. برای انجام این کار، آنها اغلب جعل سرویسی که سعی در ورود به آن دارند جعل می کنند. تصور کنید یک مجرم سایبری در حال تلاش برای ورود به اکانت بانکی آنلاین شما است. هنگامی که آنها اطلاعات کاربری شما را وارد می کنند، یک ربات به شما پیامک ارسال می کند، ایمیل می زند یا با شما تماس می گیرد و وانمود می کند که بانک شما را درخواست می کند.
از آنجایی که رباتها فوراً عمل میکنند، این درخواست باید همزمان با پیام حامل کد شما ارسال شود، بنابراین ممکن است مشکوک به نظر نرسد. سپس میتوانید با OTP پاسخ دهید و به طور تصادفی آن را برای هکر ارسال کنید، که سپس میتواند از آن برای دسترسی به حساب شما استفاده کند.
روش دیگر کار ربات های OTP این است که پیام OTP را قبل از رسیدن به شما رهگیری می کنند. در صورت موفقیت آمیز بودن، این روش ممکن است کمتر هشدار دهد، اما انجام آن دشوارتر است. دلیلی وجود دارد که چرا گزارش سالانه بررسی نقض دادههای Verizon نشان میدهد که بیشتر حملات شامل یک عنصر انسانی میشود – افراد اغلب ضعیفترین حلقه هستند.
نحوه دفاع در برابر ربات های OTP
حملات ربات OTP هشدار دهنده هستند، اما شما می توانید آنها را متوقف کنید. به یاد داشته باشید که همیشه قبل از اعتماد به هر چیزی تأیید کنید و در مورد پاسخ ندادن به درخواستهای ناخواسته اشتباه کنید.
در این زمینه، این به این معنی است که با بانک یا سایر خدمات خود چک کنید تا ببینید آیا آنها هرگز بدون اقدام شما در مورد OTP ها تماس می گیرند یا خیر. اکثر آنها این کار را نمی کنند، بنابراین به طور کلی بهتر است اگر سعی نکردید به چیزی وارد شوید، به درخواست OTP پاسخ ندهید.
در صورت وجود، باید ویژگیهای MFA مقاوم در برابر فیشینگ را فعال کنید، اگرچه اینها هنوز رایج نیستند. MFA مقاوم در برابر فیشینگ عنصر انسانی را از معادله حذف می کند، در عوض از رمزنگاری و احراز هویت دستگاه برای تأیید تلاش های ورود استفاده می کند. به این ترتیب، میدانید که هر درخواست OTP کلاهبرداری است، زیرا سرویس واقعی از آنها استفاده نمیکند.
حتی در جایی که این نوع MFA در دسترس نیست، ممکن است بتوانید فاکتورهای شناسایی غیر از OTP را فعال کنید. بیومتریک مانند تشخیص چهره یا اسکن اثر انگشت گزینه بسیار خوبی هستند. در حالی که امکان دور زدن احراز هویت بیومتریک وجود دارد، بسیار فنی است و به اندازه حملات متمرکز بر رمز عبور رایج نیست، بنابراین این عوامل همچنان از OTP ها ایمن تر هستند.
در نهایت، همیشه مراقب فعالیت های مشکوک باشید. اگر اخطاری مبنی بر تلاش برای ورود به سیستم دریافت کردید که به خاطر نمی آورید یا می دانید که شما نبودید، فوراً با سرویس مورد نظر تماس بگیرید. به طور مشابه، در صورت مشاهده فعالیت در هر حسابی که به خاطر ندارید، رمزهای عبور خود را تغییر دهید و با شرکت تماس بگیرید. اقدام سریع کلید توقف حملات قبل از اینکه آسیب زیادی وارد کند است.
آگاهی اولین قدم به سوی امنیت است
یادگیری در مورد ربات های OTP اولین قدم برای محافظت در برابر آنها است. وقتی بدانید که باید مراقب چه چیزی باشید، خواهید فهمید که چگونه ایمن بمانید.
به یاد داشته باشید که هیچ سیستم امنیتی 100 درصد قابل اعتماد نیست. OTP ها و سایر روش های MFA بخش مهمی از امنیت سایبری خوب هستند، اما کامل نیستند. در نتیجه، همیشه باید با احتیاط به مسائل برخورد کنید و مراقب فعالیت های مشکوک باشید.
