DOE AGORA Qualquer valor

Cibercriminosos exploram chamadas telefônicas e sistemas IVR para roubar OTPs

Cibercriminosos exploram chamadas telefônicas e sistemas IVR para roubar OTPs

Enoch Yankson

Enoch Yankson

Segurança da Informação, Frameworks e Controles

Introdução

No cenário de rápida evolução da segurança cibernética, os criminosos cibernéticos estão constantemente desenvolvendo novas táticas para explorar vulnerabilidades. Um método particularmente insidioso envolve o uso de chamadas telefônicas e sistemas de Resposta de Voz Interativa (IVR) para roubar Senhas Únicas (OTPs). Essas OTPs são normalmente usadas como uma segunda camada de segurança para transações on-line e logins de contas, tornando-as um alvo principal para invasores. Este artigo se aprofunda em como esses esquemas funcionam e nas etapas que podem ser tomadas para mitigar essas ameaças.

Compreendendo IVR e OTP

Os sistemas de Resposta de Voz Interativa (IVR)  são sistemas de telefonia automatizados que interagem com os chamadores, coletam informações e encaminham as chamadas para o destinatário apropriado. Eles são amplamente usados ​​em operações de atendimento ao cliente para bancos, companhias aéreas e outros serviços.

Senhas de Uso Único (OTPs)  são códigos de curta duração, gerados dinamicamente, usados ​​como parte de processos de autenticação de dois fatores (2FA) para verificar a identidade de um usuário. As OTPs são normalmente enviadas para o dispositivo móvel de um usuário via SMS ou geradas por um aplicativo de autenticação.

Como os cibercriminosos exploram os sistemas IVR

Os cibercriminosos utilizam sistemas de URA e chamadas telefônicas de diversas maneiras sofisticadas para interceptar OTPs e obter acesso não autorizado às contas:

1. Chamadas de Phishing e Engenharia Social : Os invasores geralmente iniciam chamadas de phishing fingindo ser de uma organização legítima, como um banco ou um provedor de serviços. Eles usam técnicas de engenharia social para manipular as vítimas para que divulguem informações confidenciais. Por exemplo, o autor da chamada pode avisar a vítima sobre uma transação suspeita e solicitar o OTP enviado ao seu telefone para "verificar" a transação. Depois que o OTP é compartilhado, o invasor pode acessar a conta da vítima.

2. IVR Spoofing : Neste cenário, os invasores configuram um sistema IVR falso que imita o IVR de uma organização legítima. Quando as vítimas ligam para o que acreditam ser um número legítimo, elas são solicitadas a inserir seu OTP ou outras informações confidenciais, que são então capturadas pelos invasores. Essa tática é particularmente eficaz porque capitaliza a confiança que as pessoas depositam em sistemas automatizados.

3. SIM Swapping : Este método envolve criminosos cibernéticos enganando provedores de serviços móveis para transferir o número de telefone de uma vítima para um cartão SIM em posse do invasor. Uma vez que o número é transferido, o invasor pode receber todas as mensagens SMS, incluindo OTPs. Eles podem então prosseguir para acessar as contas da vítima que dependem de 2FA baseado em SMS.

4. Hacking de correio de voz : Os invasores também podem explorar vulnerabilidades em sistemas de correio de voz para interceptar OTPs. Muitos usuários não conseguem alterar os PINs padrão em suas contas de correio de voz, facilitando o acesso dos invasores. Uma vez lá dentro, eles podem ouvir mensagens OTP e usá-las para violar contas.

Exemplos do mundo real

Um exemplo notável de exploração de IVR ocorreu em 2020, quando criminosos cibernéticos miraram usuários de um importante banco indiano. Os invasores usaram chamadas de phishing para convencer as vítimas a inserir seus OTPs em um sistema IVR falso. Os OTPs roubados foram então usados ​​para desviar dinheiro das contas das vítimas. Este incidente ressaltou a crescente sofisticação de tais esquemas e a necessidade de maior vigilância.

Mitigando a ameaça

Para se proteger contra esses tipos de ataques, tanto as organizações quanto os indivíduos devem tomar medidas proativas:

1. Educação e conscientização : os usuários devem ser educados sobre os riscos de compartilhar OTPs e outras informações confidenciais por telefone. Eles devem ser treinados para reconhecer chamadas de phishing e entender que organizações legítimas nunca pedirão OTPs por telefone.

2. Métodos de autenticação avançados : as organizações devem considerar mudar de OTPs baseados em SMS para métodos mais seguros, como autenticação baseada em aplicativo ou tokens de hardware. Esses métodos são menos suscetíveis à interceptação e troca de SIM.

3. Segurança de URA aprimorada : as empresas devem implementar medidas de segurança mais fortes para seus sistemas de URA, incluindo biometria de voz e algoritmos de detecção de fraudes que podem identificar padrões suspeitos.

4. Atualizações e auditorias regulares : garantir que todos os sistemas, incluindo correio de voz, tenham senhas fortes e exclusivas e sejam atualizados regularmente pode impedir acesso não autorizado.

5. Autenticação multifatorial : Aproveitar a autenticação multifatorial que não depende somente de SMS pode fornecer uma camada adicional de segurança. Métodos como OTPs baseados em e-mail, verificação biométrica ou aplicativos de autenticação podem ser mais seguros.

Concluindo, enquanto os cibercriminosos continuam a desenvolver novos métodos para explorar chamadas telefônicas e sistemas IVR para roubar OTPs, a conscientização e medidas de segurança proativas podem mitigar significativamente esses riscos. Organizações e indivíduos devem permanecer informados e vigilantes para se proteger contra essas ameaças em evolução.

Referências

Enviar esta postagem

Comentários

Postar um comentário

Ebook

Postagens mais visitadas