Os códigos de acesso de uso único (OTPs) são uma parte essencial da autenticação de dois fatores (A2F) tradicional e da autenticação multifator (MFA).

Se você iniciar sessão em uma conta ou verificar uma transação, você os receberá por e-mail, SMS ou aplicativos de autenticação para confirmar sua identidade.

Agora, os cibercriminosos encontraram uma maneira de burlar essas proteções usando bots de OTP.

O que é um bot de OTP?

Um bot de OTP é um programa de software automatizado que intercepta ou rouba códigos de acesso de uso único usados para verificar sua identidade. O objetivo é obter o controle de sua conta no que é conhecido como ataque de apropriação de conta (ou ATO).

Os cibercriminosos podem comprar ataques de bots de OTP em mercados clandestinos, geralmente via Telegram, por valores tão baixos quanto US$ 10 por ataque. Essa abordagem escalável e de baixo custo permite que os invasores ataquem muitas pessoas de uma só vez com o mínimo de esforço.

Como funcionam os bots de OTP

Os bots de OTP são projetados para explorar o tempo entre o momento em que você recebe uma senha de uso único e quando você a insere no aplicativo ou site. Esse intervalo costuma ser menor que um minuto.

Geralmente, os cibercriminosos interceptam o código de três maneiras:

Apropriação de conta por bot de OTP via engenharia social

    O invasor usa credenciais roubadas ou vazadas para acionar a etapa de OTP em um site legítimo. Em seguida, um bot entra em contato com você por SMS ou chamada telefônica, usando um roteiro criado para gerar urgência — por exemplo, se passando pela equipe de fraudes de um banco. Se você compartilhar o OTP, o bot o repassa ao invasor em tempo real, concedendo-lhe acesso à sua conta. O invasor pode então alterar as credenciais de início de sessão e bloquear seu acesso.

    Apropriação de conta por bot de OTP via interceptação

      Usando credenciais roubadas para acionar o OTP, o bot tenta interceptar o código antes que ele chegue até você. Os métodos comuns incluem:

      • Ataque de SIM swap: o invasor convence uma operadora de telefonia móvel a transferir seu número de telefone para um cartão SIM controlado por ele, fazendo com que os códigos por SMS sejam entregues diretamente a ele. 
      • Exploração de API: o bot ataca APIs de autenticação pouco seguras para capturar os OTPs conforme são gerados. 
      • Força bruta: o invasor tenta todas as combinações possíveis de OTPs numéricos curtos, o que é possível quando o site ou aplicativo que você está usando não definiu um limite para solicitações repetidas.

      Apropriação de conta por bot de OTP via ataque de relay

        Essa variação não depende de credenciais roubadas. Em vez disso, ela engana você para que forneça ao invasor seus dados de início de sessão e seu OTP. Você entra em um site falso que se parece com o real e insere suas credenciais. O bot usa imediatamente essas credenciais para iniciar sessão no site real, o que dispara um OTP enviado para o seu telefone. O site falso pede para você inserir o código, que o bot retransmite em tempo real para o site real. Isso permite que o invasor conclua o início de sessão antes que o código expire.

        Assim como nas outras variações, o invasor pode alterar as credenciais e bloquear seu acesso à conta.

        Como um bot de OTP pode afetar sua empresa

        A facilidade de obter serviços de bots de OTP provavelmente aumentará os ataques a empresas. Embora bancos e comércio eletrônico sejam alvos comuns, qualquer setor pode ser afetado. Pequenas e médias empresas (PMEs) costumam ser visadas com mais frequência(nova janela).

        As perdas financeiras podem ser significativas, mas não são o único risco que você deve considerar.

        Por mais prejudiciais que as perdas financeiras possam ser para uma organização, essa não é a única perda que deve preocupar os proprietários de empresas.

        Perda de confiança do cliente

        A confiança do cliente geralmente cai após uma violação de dados(nova janela). Um estudo de 2024 realizado pela Vercara(nova janela) revelou que 58% dos consumidores consideram as marcas afetadas não confiáveis, e 70% deixariam de comprar com uma marca após um incidente de segurança.

        Riscos de conformidade regulatória

        Mesmo que nenhum recurso financeiro seja roubado, sua empresa pode enfrentar multas por não cumprir os requisitos de proteção de dados. For exemplo, o Regulamento Geral sobre a Proteção de Dados (GDPR) se aplica a qualquer organização que processe os dados pessoais de residentes da UE, independentemente de sua localização ou do tamanho da empresa. As penalidades pelo não cumprimento podem ser substanciais.

        Como proteger sua empresa de bots de OTP

        Considerando que o erro humano é o mais difícil de evitar, as empresas devem implementar o máximo possível de proteções técnicas. Elas podem incluir:

        Limitação de taxa e controle de fluxo

        Limite a quantidade de solicitações de código de acesso de uso único (OTP) que podem ser feitas a partir de um único endereço IP, número de telefone ou conta dentro de um intervalo de tempo definido. Isso evita que invasores inundem seus sistemas com solicitações automatizadas.

        CAPTCHA e análise comportamental

        Use desafios de CAPTCHA quando houver atividade suspeita e aplique análise comportamental para detectar padrões não humanos, como envios rápidos de formulários ou movimentos irrealistas do mouse.

        Impressão digital de dispositivo

        Rastreie as características do dispositivo para identificar infratores recorrentes e sinalizar dispositivos que fazem várias solicitações de OTP em diferentes contas.

        Autenticação multifator além do OTP

        Adicione métodos de autenticação mais fortes, como chaves de segurança de hardware, verificação biométrica ou notificações push, para reduzir a dependência apenas do OTP.

        Reforço da segurança de APIs

        Proteja suas APIs de OTP exigindo autenticação, assinando requisições, validando entradas e usando canais de comunicação seguros para evitar interceptações ou manipulações.

        Monitoramento e detecção

        Monitore os padrões de uso para identificar comportamentos incomuns que possam indicar atividade de bots. Use alertas em tempo real para detectar picos em solicitações de OTP ou acessos geográficos inesperados. Revise os registros regularmente para detectar ameaças com antecedência.

        Como se proteger de bots de OTP

        Os bots de OTP podem ser perigosos, mas você pode seguir passos simples para proteger suas contas.

        Use senhas ou passkeys fortes e exclusivas

        Use um gerenciador de senhas empresarial para gerar e armazenar credenciais exclusivas para cada conta. Se possível, use passkeys, que removem a necessidade de senhas de uso único (OTPs).

        Use uma chave de segurança de hardware

        Chaves de segurança físicas, como a YubiKey, oferecem forte proteção contra ataques automatizados porque exigem acesso físico ao seu dispositivo.

        Fique atento a tentativas de phishing

        Tenha cuidado com mensagens não solicitadas que pedem códigos de verificação. O OTP deve ser inserido em um site ou aplicativo, não compartilhado com ninguém.

        Monitore a atividade da sua conta

        Verifique o histórico de início de sessão e as configurações da conta regularmente em busca de atividades incomuns.

        Use um aplicativo de autenticação em vez de SMS

        Senhas de uso único baseadas em tempo (TOTP) — códigos gerados por um aplicativo de autenticação — são mais seguras do que os OTPs baseados em SMS, que podem ser interceptados por meio de ataques de clonagem de SIM (SIM-swapping).

        Uma boa higiene de senhas é a sua primeira linha de defesa

        Combinar fortes proteções técnicas com uma boa higiene de credenciais ajuda muito a manter os invasores afastados.

        Um gerenciador de senhas empresarial é uma das ferramentas mais simples e eficazes que você pode usar — ele garante que os funcionários não reutilizem senhas fracas em várias contas, o que é exatamente o tipo de vulnerabilidade que os bots de OTP foram projetados para explorar.

        Combine-o com métodos de autenticação resistentes a phishing e uma cultura de conscientização sobre segurança, e você tornará sua empresa um alvo muito mais difícil.