Bu tekniklerin giderek daha sofistike hale geldiği tespit edildi. 2FA’nın birçok web sitesi tarafından yaygın olarak benimsenmesi ve çok sayıda kuruluş tarafından zorunlu olarak uygulanması ile birlikte, saldırganlar kullanıcıları kandırmak ve hesaplarına yetkisiz erişim sağlamak için kimlik avı ile otomatik OTP botlarını birleştiren gelişmiş yöntemler geliştirdi.

İki faktörlü kimlik doğrulama (2FA), çevrimiçi güvenlikte standart bir uygulama haline gelen bir güvenlik özelliği. Bu teknik, kullanıcıların kimliklerini genellikle kısa mesaj, e-posta veya diğer bir kimlik doğrulama uygulaması aracılığıyla gönderilen tek seferlik bir parola (OTP) gibi ikinci bir kimlik doğrulama yöntemi kullanarak doğrulamalarını gerektiriyor. Bu ekstra güvenlik katmanı, şifreleri tehlikeye girse bile kullanıcıların hesaplarını korumayı amaçlıyor. Ancak dolandırıcılar, kullanıcıları bu OTP’leri ifşa etmeleri için kandırmanın yeni yollarını geliştirerek 2FA korumalarını atlamalarına izin veriyor.

Bu noktada OTP botu, dolandırıcılar tarafından sosyal mühendislik teknikleriyle OTP’leri ele geçirmek için kullanılan bir araç olarak öne çıkıyor. Saldırganlar genellikle kimlik avı veya veri sızıntıları yoluyla kurbanın giriş bilgilerini elde etmeye çalışıyor, ardından kurbanın hesabına giriş yaparak telefonuna bir OTP gönderilmesini tetikliyor. Ardından OTP botu kurbanı arıyor, kuruluşun güvenilir bir temsilcisi gibi davranıyor ve kurbanı OTP’yi paylaşmaya ikna etmek için önceden yazılmış bir diyalog kullanıyor. Son olarak saldırgan, bot aracılığıyla OTP’yi alıyor ve kurbanın hesabına erişmek için kullanıyor.

Çevrimiçi bankacılık oturum açma sayfasını taklit eden bir kimlik avı sitesi

Dolandırıcılar mesaj yerine telefon aramalarını tercih ediyor, çünkü aramalar kurbanın hızlı yanıt verme şansını artırıyor. Bot, meşru bir aramanın tonunu ve aciliyetini taklit ederek görüşmeyi daha inandırıcı hale getirebiliyor.

Dolandırıcılar OTP botlarını özel çevrimiçi paneller veya Telegram gibi mesajlaşma platformları aracılığıyla yönetiyor. Bu botlar çeşitli özelliklere ve abonelik planlarına sahipler, farklı kuruluşları taklit edecek, birden fazla dil kullanacak ve hatta erkek ve kadın sesleri arasında seçim yapacak şekilde özelleştirilebiliyorlar. Gelişmiş seçenekler arasında, arayan kimliğinin meşru bir kuruluştan geliyormuş gibi görünmesini sağlayan telefon numarası sahteciliği de yer alıyor.

Bir OTP botu kullanmadan önce, dolandırıcıların kurbanın kimlik bilgilerini çalması gerekiyor. Bu amaçla genellikle bankalar, e-posta hizmetleri veya diğer çevrimiçi hesaplar için yasal giriş sayfaları gibi görünen kimlik avı web sitelerini kullanıyorlar. Hedeflenen kişi kullanıcı adı ve şifresini girdiğinde, dolandırıcılar bu bilgileri gerçek zamanlı olarak ele geçiriyor.

Kaspersky araştırması, bu gibi kimlik avı ve OTP bot saldırılarının önemli bir etki gösterdiğini ortaya koydu. Şirketin ürünleri, 1 Mart- 31 Mayıs 2024 tarihleri arasında, bankacılık sektörünü hedef alan kimlik avı kitleri tarafından oluşturulan ve verileri genellikle OTP botlarıyla yapılan saldırılarda kullanılan siteleri ziyaret etmeye yönelik 653 bin 88 girişimi engelledi. Aynı dönemde Kaspersky teknolojisi, iki faktörlü kimlik doğrulamayı atlatmayı amaçlayan kitler tarafından oluşturulan 4 bin 721 kimlik avı sayfasını gerçek zamanlı olarak tespit etti.

Kaspersky Güvenlik Uzmanı Olga Svistunova, şunları söyledi: “Sosyal mühendislik, özellikle de meşru hizmetlerin temsilcilerinden geliyormuş gibi gerçek aramaları taklit edebilen OTP botlarının kullanımıyla inanılmaz derecede inandırıcı olabiliyor. Bu nedenle tetikte olmak için uyanık kalmak ve en iyi güvenlik uygulamalarını takip etmek çok önemli. Kaspersky, sürekli araştırma ve inovasyon sayesinde dijital yaşamları korumak için son teknoloji güvenlik çözümleri sunuyor.”

2FA önemli bir güvenlik önlemi olsa da kusursuz değil. Kaspersky, bu sofistike dolandırıcılıklardan korunmak için şunları öneriyor:

Şüpheli e-posta mesajlarıyla gelen bağlantıları açmaktan kaçının. Kuruluştaki hesabınızda oturum açmanız gerekiyorsa, adresi manuel olarak yazın veya bir yer imi kullanın.
Kimlik bilgilerinizi girmeden önce web sitesi adresinin doğru olduğundan ve yazım hatası içermediğinden emin olun. Web sitesini kontrol etmek için Whois’i kullanın: Site yakın zaman önce kaydedilmişse, bunun bir dolandırıcılık sitesi olma ihtimali vardır.
Arayan kişi ne kadar ikna edici olursa olsun, telefondayken tek seferlik kodu telaffuz etmeyin veya girmeyin. Gerçek bankalar ve diğer şirketler müşterilerinin kimliklerini doğrulamak için asla bu yöntemi kullanmazlar.
Şirketinizi çeşitli tehditlere karşı korumak için, Kaspersky Next gibi her büyüklükteki ve sektördeki kuruluşlar için gerçek zamanlı koruma, tehdit görünürlüğü, EDR ve XDR’nin araştırma ve yanıt yeteneklerini sağlayan güvenlik çözümleri kullanın.
Çalışanlarınız için Kaspersky Security Awareness kursları gibi ek siber güvenlik eğitimlerine yatırım yapın.
Kaspersky Daily web sitesinde OTP botları hakkında daha fazla bilgi edinebilirsiniz.