As instituições bancárias de varejo em Cingapura têm três meses para eliminar gradualmente o uso de senhas de uso único (OTPs) para fins de autenticação ao fazer login em contas on-line para reduzir o risco de ataques de phishing.
A decisão foi anunciada pela Autoridade Monetária de Cingapura (MAS) e pela Associação de Bancos de Cingapura (ABS) em 9 de julho de 2024.
“Os clientes que ativaram seu token digital em seus dispositivos móveis terão que usá-los para fazer login em contas bancárias por meio do navegador ou do aplicativo bancário móvel”, disse o MAS.
“O token digital autenticará o login dos clientes sem a necessidade de uma OTP que os golpistas podem roubar ou induzir os clientes a revelar.”
A MAS também está pedindo aos clientes que ativem seus tokens digitais para se protegerem contra ataques projetados para roubar credenciais e sequestrar suas contas para a realização de fraudes financeiras.
“Esta medida fornece aos clientes proteção adicional contra acesso não autorizado às suas contas bancárias”, disse Ong-Ang Ai Boon, diretor do ABS, em uma declaração. “Embora possam dar origem a alguma inconveniência, tais medidas são necessárias para ajudar a prevenir golpes e proteger os clientes.”
Embora os OTPs tenham sido introduzidos originalmente como uma forma de autenticação de segundo fator (2FA) para reforçar a segurança da conta, os criminosos cibernéticos criaram trojans bancários, bots OTP e kits de phishing que são capazes de coletar esses códigos usando websites semelhantes.
Os bots OTP, acessíveis by way of Telegram e anunciados por preços entre US$ 100 e US$ 420, levam a engenharia social ao próximo nível ao ligar para os usuários e convencê-los a inserir o código 2FA em seus telefones para ajudar a contornar as proteções de conta.
É importante mencionar que esses bots são projetados principalmente para roubar o código OTP da vítima, exigindo que os golpistas obtenham credenciais válidas por outros meios, como violações de dados, conjuntos de dados disponíveis para venda na darkish internet e páginas da internet de coleta de credenciais.
“A principal tarefa do bot OTP é ligar para a vítima. São as ligações com as quais os golpistas contam, pois os códigos de verificação são válidos apenas por um tempo limitado”, disse a pesquisadora de ameaças da Kaspersky, Olga Svistunova, em um relatório recente.
“Enquanto uma mensagem pode ficar sem resposta por um tempo, ligar para o usuário aumenta as possibilities de obter o código. Uma ligação telefônica também é uma oportunidade de tentar produzir o efeito desejado na vítima com o tom de voz.”
Na semana passada, o SlashNext divulgou detalhes de um equipment de ferramentas de phishing “de ponta a ponta” chamado FishXProxy que, embora aparentemente destinado apenas a “fins educacionais”, reduz o nível técnico para aspirantes a agentes de ameaças que buscam montar campanhas de phishing em grande escala, contornando as defesas.
“O FishXProxy equipa os cibercriminosos com um arsenal formidável para ataques de phishing de e-mail em várias camadas”, observou a empresa. “As campanhas começam com hyperlinks gerados exclusivamente ou anexos dinâmicos, ignorando o escrutínio inicial.”
“As vítimas então enfrentam sistemas antibot avançados usando o CAPTCHA da Cloudflare, filtrando ferramentas de segurança. Um sistema de redirecionamento inteligente obscurece os verdadeiros destinos, enquanto as configurações de expiração de página dificultam a análise e auxiliam no gerenciamento de campanhas.”
Outra adição notável ao FishXProxy é o uso de um sistema de rastreamento baseado em cookie que permite que invasores identifiquem e rastreiem usuários em diferentes projetos ou campanhas de phishing. Ele também pode criar anexos de arquivo maliciosos usando técnicas de contrabando de HTML que tornam possível evitar a detecção de desvio.
“O contrabando de HTML é bastante eficaz em contornar controles de segurança de perímetro, como gateways de e-mail e proxies da internet, por dois motivos principais: ele abusa dos recursos legítimos do HTML5 e do JavaScript e aproveita diferentes formas de codificação e criptografia”, disse Cisco Talos.
O aumento de malware móvel ao longo dos anos também levou o Google a revelar um novo programa piloto em Cingapura que visa impedir que os usuários carreguem determinados aplicativos que abusam das permissões de aplicativos Android para ler OTPs e coletar dados confidenciais.
