Retailbankinstellingen in Singapore hebben drie maanden de tijd om het gebruik van eenmalige wachtwoorden (OTP’s) voor authenticatiedoeleinden bij het inloggen op online accounts geleidelijk af te schaffen. Zo willen ze het risico op phishingaanvallen beperken.
Het besluit werd op 9 juli 2024 bekendgemaakt door de Monetary Authority of Singapore (MAS) en The Association of Banks in Singapore (ABS).
“Klanten die hun digitale token op hun mobiele apparaat hebben geactiveerd, moeten hun digitale tokens gebruiken om in te loggen op hun bankrekening via de browser of de mobiele bank-app”, aldus de MAS.
“Het digitale token verifieert de inloggegevens van klanten zonder dat er een eenmalig wachtwoord (OTP) nodig is. Oplichters kunnen dit namelijk stelen of klanten ertoe verleiden hun gegevens prijs te geven.”
De MAS dringt er ook bij klanten op aan om hun digitale tokens te activeren ter bescherming tegen aanvallen die erop gericht zijn om inloggegevens te stelen en hun accounts te kapen om financiële fraude te plegen.
“Deze maatregel biedt klanten extra bescherming tegen ongeautoriseerde toegang tot hun bankrekeningen,” zei Ong-Ang Ai Boon, directeur van ABS, in een verklaring. “Hoewel ze tot enig ongemak kunnen leiden, zijn dergelijke maatregelen noodzakelijk om oplichting te voorkomen en klanten te beschermen.”
Hoewel OTP’s oorspronkelijk werden geïntroduceerd als een vorm van tweede-factorauthenticatie (2FA) om de beveiliging van accounts te verbeteren, hebben cybercriminelen inmiddels banking-trojans, OTP-bots en phishingkits ontwikkeld die dergelijke codes kunnen verzamelen met behulp van vergelijkbare sites.
OTP-bots, toegankelijk via Telegram en geadverteerd voor bedragen tussen de $ 100 en $ 420, tillen social engineering naar een hoger niveau door gebruikers te bellen en hen te overtuigen de 2FA-code op hun telefoon in te voeren om accountbeveiligingen te omzeilen.
Het is belangrijk om te vermelden dat dergelijke bots voornamelijk zijn ontworpen om de OTP-code van een slachtoffer te stelen. Dit betekent dat oplichters op andere manieren aan geldige inloggegevens moeten komen, bijvoorbeeld via datalekken, datasets die te koop worden aangeboden op het dark web en webpagina’s waar inloggegevens worden verzameld.
“De belangrijkste taak van de OTP-bot is om het slachtoffer te bellen. Oplichters rekenen op oproepen, omdat verificatiecodes slechts een beperkte tijd geldig zijn”, aldus Olga Svistunova, dreigingsonderzoeker bij Kaspersky, in een recent rapport.
“Terwijl een bericht een tijdje onbeantwoord kan blijven, vergroot het bellen van de gebruiker de kans om de code te krijgen. Een telefoontje is ook een kans om te proberen het gewenste effect op het slachtoffer te produceren met de toon van de stem.”
Vorige week maakte SlashNext details bekend over een ‘end-to-end’ phishingtoolkit met de naam FishXProxy. Deze toolkit is ogenschijnlijk alleen bedoeld voor ‘educatieve doeleinden’, maar verlaagt de technische lat voor beginnende cybercriminelen die op grote schaal phishingcampagnes willen opzetten en tegelijkertijd de beveiliging willen omzeilen.
“FishXProxy voorziet cybercriminelen van een formidabel arsenaal voor gelaagde e-mailphishingaanvallen”, merkte het bedrijf op. “Campagnes beginnen met uniek gegenereerde links of dynamische bijlagen, waardoor de eerste controle wordt omzeild.”
“Slachtoffers worden vervolgens geconfronteerd met geavanceerde antibotsystemen die gebruikmaken van Cloudflare’s CAPTCHA, waardoor beveiligingstools worden uitgefilterd. Een slim omleidingssysteem verbergt echte bestemmingen, terwijl pagina-vervalinstellingen de analyse belemmeren en campagnebeheer ondersteunen.”
Een andere opmerkelijke toevoeging aan FishXProxy is het gebruik van een op cookies gebaseerd trackingsysteem waarmee aanvallers gebruikers kunnen identificeren en volgen in verschillende phishingprojecten of -campagnes. Het kan ook schadelijke bestandsbijlagen maken met behulp van HTML-smokkeltechnieken die het mogelijk maken om sidestepdetectie te omzeilen.
“HTML-smokkel is behoorlijk effectief bij het omzeilen van perimeterbeveiligingscontroles zoals e-mailgateways en webproxy’s, en wel om twee belangrijke redenen: het misbruikt de legitieme functies van HTML5 en JavaScript en het maakt gebruik van verschillende vormen van codering en encryptie”, aldus Cisco Talos.
De opkomst van mobiele malware in de loop der jaren heeft ertoe geleid dat Google een nieuw pilotprogramma in Singapore heeft gepresenteerd. Dit programma moet voorkomen dat gebruikers bepaalde apps sideloaden die Android-app-machtigingen misbruiken om OTP’s te lezen en gevoelige gegevens te verzamelen.
