بنوك سنغافورة تتخلص تدريجياً من OTPs لتسجيل الدخول عبر الإنترنت في غضون 3 أشهر
لدى المؤسسات المصرفية للأفراد في سنغافورة ثلاثة أشهر للتخلص التدريجي من استخدام كلمات المرور لمرة واحدة (OTPs) لأغراض المصادقة عند تسجيل الدخول إلى الحسابات عبر الإنترنت للتخفيف من مخاطر هجمات التصيد الاحتيالي.
تم الإعلان عن القرار من قبل سلطة النقد السنغافورية (MAS) وجمعية البنوك في سنغافورة (ABS) في 9 يوليو 2024.
“سيتعين على العملاء الذين قاموا بتنشيط الرموز الرقمية الخاصة بهم على أجهزتهم المحمولة استخدام الرموز الرقمية الخاصة بهم لتسجيل الدخول إلى الحساب المصرفي عبر المتصفح أو تطبيق الخدمات المصرفية عبر الهاتف المحمول،” MAS قال.
“سيعمل الرمز الرقمي على مصادقة تسجيل دخول العملاء دون الحاجة إلى كلمة مرور لمرة واحدة (OTP) يمكن للمحتالين سرقتها أو خداع العملاء للكشف عنها.”
تحث MAS أيضًا العملاء على تنشيط الرموز الرقمية الخاصة بهم للحماية من الهجمات المصممة لسرقة بيانات الاعتماد واختطاف حساباتهم لإجراء عمليات احتيال مالي.
وقال أونج أنج آي بون، مدير ABS، في بيان: “يوفر هذا الإجراء للعملاء مزيدًا من الحماية ضد الوصول غير المصرح به إلى حساباتهم المصرفية”. “على الرغم من أنها قد تسبب بعض الإزعاج، إلا أن مثل هذه الإجراءات ضرورية للمساعدة في منع عمليات الاحتيال وحماية العملاء.”
في حين تم تقديم OTPs في الأصل كشكل من أشكال المصادقة الثانية (2FA) لتعزيز أمان الحساب، فقد ابتكر مجرمو الإنترنت أحصنة طروادة المصرفية، وروبوتات OTP، ومجموعات التصيد الاحتيالي القادرة على جمع مثل هذه الرموز باستخدام مواقع مشابهة.
تعمل روبوتات OTP، التي يمكن الوصول إليها عبر Telegram ويتم الإعلان عنها بمبلغ يتراوح بين 100 دولار و420 دولارًا، على نقل الهندسة الاجتماعية إلى المستوى التالي من خلال الاتصال بالمستخدمين وإقناعهم بإدخال رمز المصادقة الثنائية على هواتفهم للمساعدة في تجاوز حماية الحساب.
من المهم الإشارة إلى أن مثل هذه الروبوتات مصممة بشكل أساسي لسرقة رمز OTP الخاص بالضحية، مما يستلزم حصول المحتالين على بيانات اعتماد صالحة من خلال وسائل أخرى مثل خروقات البيانات، ومجموعات البيانات المتاحة للبيع على الويب المظلم، وصفحات الويب لجمع بيانات الاعتماد.
“تتمثل المهمة الرئيسية لروبوت OTP في الاتصال بالضحية. إنها المكالمات التي يعتمد عليها المحتالون، حيث إن رموز التحقق صالحة لفترة محدودة فقط،” هذا ما قالته أولغا سفيستونوفا، باحثة التهديدات في كاسبرسكي. قال في تقرير حديث.
“في حين أن الرسالة قد تبقى دون إجابة لفترة من الوقت، فإن الاتصال بالمستخدم يزيد من فرص الحصول على الرمز. كما تعد المكالمة الهاتفية أيضًا فرصة لمحاولة إحداث التأثير المطلوب على الضحية من خلال نبرة الصوت.”
في الأسبوع الماضي، كشفت SlashNext عن تفاصيل “شاملة” مجموعة أدوات التصيد يُطلق عليها اسم FishXProxy، على الرغم من أنها تعني ظاهريًا “الأغراض التعليمية فقط“، يخفض المستوى الفني أمام الجهات الفاعلة الطموحة التي تتطلع إلى شن حملات تصيد على نطاق واسع مع تجنب الدفاعات.
“تزود FishXProxy مجرمي الإنترنت بترسانة هائلة لهجمات التصيد الاحتيالي عبر البريد الإلكتروني متعددة الطبقات،” الشركة ذُكر. “تبدأ الحملات بروابط تم إنشاؤها بشكل فريد أو مرفقات ديناميكية، متجاوزة التدقيق الأولي.”
“يواجه الضحايا بعد ذلك أنظمة مكافحة الروبوتات المتقدمة باستخدام اختبار CAPTCHA الخاص بـ Cloudflare، مما يؤدي إلى تصفية أدوات الأمان. ويحجب نظام إعادة التوجيه الذكي الوجهات الحقيقية، بينما تعيق إعدادات انتهاء صلاحية الصفحة التحليل وتساعد في إدارة الحملة.”
إضافة أخرى جديرة بالملاحظة إلى FishXProxy هي استخدام نظام تتبع قائم على ملفات تعريف الارتباط يسمح للمهاجمين بتحديد وتتبع المستخدمين عبر مشاريع أو حملات التصيد المختلفة. يمكنه أيضًا إنشاء مرفقات ملفات ضارة باستخدام تقنيات تهريب HTML التي تجعل من الممكن تجنب اكتشاف التجاوزات.
“يعد تهريب HTML فعالاً للغاية في تجاوز عناصر التحكم الأمنية المحيطة مثل بوابات البريد الإلكتروني ووكلاء الويب لسببين رئيسيين: إنه يسيء استخدام الميزات المشروعة لـ HTML5 وJavaScript، ويستفيد من أشكال مختلفة من التشفير والتشفير،” Cisco Talos قال.
في الشهر الماضي، لاحظت شركة الأمن السيبراني Resecurity أن مجرمي الإنترنت يروجون لمجموعة تصيد جديدة أخرى تسمى V3B على Telegram والويب المظلم، وهي قادرة على استهداف عملاء البنوك الكبرى في أيرلندا وهولندا وفنلندا والنمسا وألمانيا وفرنسا وبلجيكا واليونان. ولوكسمبورج وإيطاليا.
وقالت: “تدعم مجموعة التصيد V3B أكثر من 54 مؤسسة مالية تتميز بنماذج مخصصة ومحلية لتقليد عمليات المصادقة والتحقق من الخدمات المصرفية عبر الإنترنت وأنظمة التجارة الإلكترونية في الاتحاد الأوروبي”. “يتراوح سعر أدوات التصيد الاحتيالي بين 130 إلى 450 دولارًا شهريًا.”
وقد دفع ظهور البرامج الضارة على الأجهزة المحمولة على مر السنين شركة Google إلى الكشف عن برنامج تجريبي جديد في سنغافورة يهدف إلى منع المستخدمين من تحميل بعض التطبيقات التي تسيء استخدام أذونات تطبيقات Android لقراءة كلمات المرور لمرة واحدة (OTP) وجمع البيانات الحساسة.
إرسال التعليق