ワンタイムパスワードを盗むボットが詐欺スキームを簡素化

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

このレポートでは、ワンタイムパスワード(OTP)バイパスボットの仕組み、既存の詐欺スキームへの適合、個人や金融機関にもたらす脅威について詳しく説明しています。 このレポートには、サイバー犯罪者がOTPバイパスボットをどのように設定し、使用するかについてのチュートリアルも含まれています。 このレポートのソースには、ダークウェブフォーラム、詐欺に焦点を当てたTelegramチャネル、およびRecorded Future Payment Fraud Intelligenceモジュールが含まれています。 このレポートは、金融機関の詐欺およびサイバー脅威インテリジェンス (CTI) チーム、およびセキュリティ研究者を対象としています。

Executive Summary

ワンタイムパスワード(OTP)は、多要素認証(MFA)の一種で、基本的なパスワード以外の保護層を追加するためによく使用されます。 OTPは、通常4〜8桁の数字で構成される動的パスワードですが、文字が含まれることもあります。 多くの金融機関やオンライン サービスでは、このツールを使用してログインの認証、トランザクションの確認、またはユーザーの識別を行っています。 OTPコードをユーザーに提供する主な方法は、SMS、電子メール、 またはAuthyなどのモバイル認証アプリケーションを使用することです。 OTPは被害者のアカウントを不正アクセスや取引から保護するため、サイバー犯罪者はそれらを回避して克服するためのさまざまな方法を常に開発しています。

この1年間で、脅威アクターはOTPの盗難を自動化するためのボットを開発、宣伝、使用することが増えており、脅威アクターがOTP保護を大規模に回避することをより簡単かつ安価に行えるようになりました。 OTPバイパスボットは、技術的な専門知識や最小限の言語スキルで操作できるため、OTP保護を回避できる脅威アクターの数も増加します。 OTPバイパスボットは通常、音声通話やSMSメッセージをターゲットに配信し、ターゲットにOTPの入力を要求し、成功した場合は、入力されたOTPをボットを操作する脅威アクターに送り返すことで機能します。

Recorded Futureのアナリストは、詐欺に焦点を当てたTelegramチャネルで宣伝された「SMSBypassBot」という名前のオープンソースのOTPバイパスボットを特定してテストし、宣伝どおりに機能し、設定と使用が簡単であることを確認しました。

主な調査結果

• さまざまな正規サービス(特にオンラインアカウントログインの認証、送金、3ドメインセキュア対応(3DS)の購入)によるOTPの使用の増加により、OTPの取得方法と回避方法に対するサイバー犯罪の需要が並行して発生しています。
• OTPバイパスに関連するダークウェブフォーラムの活動(このトピックに関連する投稿の量と閲覧数で測定)は、2020年に急増し、その後も高い水準を維持しています。
• 従来のOTPバイパスの方法(SIMカードの交換、ブルートフォース、設定が不十分な認証システムの悪用、手動のソーシャルエンジニアリング)は、時間がかかり、技術的にも困難になっています。
• OTPバイパスボットは、ソーシャルエンジニアリングとボイスフィッシング(ビッシング)の手法を使いやすいインターフェースと組み合わせて、被害者のOTPを取得するための部分的に自動化された、手頃な価格でスケーラブルな方法を提供します。

背景

多要素認証(MFA)は、単なる静的パスワードを超えた追加のセキュリティレイヤーを提供し、Microsoftは MFAがアカウント侵害攻撃の99.9%以上をブロックできると報告しています。 ワンタイムパスワード (OTP) は、自動的に生成された文字列 (通常は数値ですが、場合によっては英数字) を使用してユーザーを認証する MFA の一種です。

サービスプロバイダー、金融機関、加盟店は、オンラインアカウントログインの認証、送金、3DS対応の支払いカード取引など、さまざまな目的でOTPを使用しています。 過去10年間でOTPの採用が増加したため、脅威アクターはOTPをバイパスしてオンラインアカウントに不正にアクセスし、不正な送金や取引を行う方法を開発するようになりました。

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。