一次性密码 (OTP) 可能并不像看上去那么安全,因为 OTP 机器人的兴起给本应重要的安全功能蒙上了阴影。 考虑到它们的普遍性,针对这些系统的 OTP 机器人的日益流行就更加令人担忧。 以下是您需要了解的有关它们的所有信息,以便您免受这种威胁。
目录
什么是一次性密码?
要了解 OTP 机器人,您首先需要了解 OTP 本身。 顾名思义,一次性密码是您在输入电子邮件地址和密码等其他凭据后获得的临时登录代码。 它们通常只持续 30 到 60 秒,然后就不再授予帐户访问权限。
这里的想法是阻止那些可能窃取、猜测或暴力破解您的密码的人。 通过通过电话、短信或专用移动应用程序发送一次性代码,该服务可确保登录者也可以访问受信任的设备。 窃取密码相对容易,但犯罪分子不太可能拥有您的密码和手机。
OTP 机器人如何工作?
OTP 已经变得如此普遍,以至于有些手机现在会自动删除这些验证码并清除收件箱。 虽然这应该意味着您的在线帐户比以往更加安全,但它却使 OTP 系统本身成为网络犯罪分子的目标。 OTP 机器人以两种方式之一瞄准这些系统。
OTP 机器人的第一种也是最常见的工作方式是诱骗用户泄露他们的一次性代码。 为此,他们经常冒充他们尝试登录的服务。 想象一下网络犯罪分子正在尝试登录您的网上银行帐户。 当他们输入您的凭据时,机器人会冒充银行向您发送短信、电子邮件或电话,要求您提供代码。
由于机器人会立即采取行动,因此该请求应该与携带您的代码的消息同时发出,因此它可能看起来并不可疑。 然后,您可能会回复 OTP,不小心将其发送给黑客,然后黑客可以使用它来访问您的帐户。
OTP 机器人的另一种工作方式是在 OTP 消息到达您之前拦截它。 如果成功,这种方法可能不太可能引起警报,但更难实现。 这是有原因的 Verizon 年度数据泄露调查报告 发现大多数攻击都涉及人为因素——人往往是最薄弱的环节。
如何防御 OTP 机器人
OTP 机器人攻击令人震惊,但您可以阻止它们。 请记住,在信任任何事物之前一定要进行验证,宁可不响应未经请求的请求。
在这种情况下,这意味着请咨询您的银行或其他服务机构,看看他们是否曾在您未采取任何行动的情况下主动联系 OTP。 大多数都不会,因此如果您没有尝试登录任何内容,通常最好不要回答 OTP 请求。
如果可用,您应该启用防网络钓鱼的 MFA 功能,尽管这些功能尚不常见。 防网络钓鱼 MFA 消除了人为因素,而是使用加密技术和设备身份验证来验证登录尝试。 这样,您就会知道任何 OTP 请求都是骗局,因为真正的服务不会使用它们。
即使无法使用此类 MFA,您也可以启用 OTP 以外的识别因素。 面部识别或指纹扫描等生物识别技术是一个不错的选择。 虽然可以绕过生物识别身份验证,但它技术性很强,不像以密码为中心的攻击那么常见,因此这些因素仍然比 OTP 更安全。
最后,始终留意可疑活动。 如果您收到登录尝试的通知,但您不记得或知道不是您本人登录,请立即联系相关服务。 同样,如果您发现任何您不记得的帐户有活动,请更改您的密码并联系该公司。 快速行动是在攻击造成重大损害之前阻止攻击的关键。
意识是迈向安全的第一步
了解 OTP 机器人是防范 OTP 机器人的第一步。 当您知道要注意什么时,您就会了解如何保持安全。
请记住,没有任何安全系统是 100% 可靠的。 OTP 和其他 MFA 方法是良好网络安全的重要组成部分,但它们并不完美。 因此,您应该始终谨慎行事并留意可疑活动。
