「OTP Agency」の運営者が刑事訴追され、攻撃者が多要素認証(MFA)を回避するために使用している巧妙な手口が明らかになっています。
OTP Agencyは、2019年11月にサービスを開始しました。このサービスは、サイバー攻撃者がMFAを回避し、不正なログインを完了できるように手助けします。このサイバー攻撃者は、認証情報が既に詐取されている被害者に電話をかけ、その認証情報が使用されるWebサイトの担当者を装って詐欺の疑いがあることを伝えます。そして、その被害者にSMSで送信されたワンタイムパスワード(OTP)を提供するように要求します。
しかし実際には、このサイバー攻撃者は被害者に電話をかけるときにはWebサイトにログインしており、OTP Agencyのサービスによって取得したOTPを使用してログインを完了させます。
OTP Agencyは、サイバー攻撃者がアクセスするWebサイトに応じて、料金を設定していました。例えば、銀行サイトにアクセスするには週30ポンド、VisaとMastercardの認証サイトにアクセスするには週380ポンドを要求していました。
イギリス国家犯罪対策庁が発表した最新の声明によると、OTP Agencyを運営していた19歳から22歳までの英国在住者3名が逮捕され、詐欺罪を認めています。
OTP Agencyのサービスは単純で、特別な技術や経験がなくても利用でき、誰でも簡単にサイバー犯罪に手を染めるリスクがあることを示しています。また、彼らの活動が5年間続いたことからも、被害者がこのような手口に繰り返し騙されていたことがわかります。企業や組織は新しいスタイルの先進的なセキュリティ意識向上トレーニングを導入し、従業員にOTP Agencyのような手口を教育し、認証情報やアクセス権限を安全に保つための対策を強化する必要があります。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
原典:Stu Sjouwerman著 2024年10月1日発信 https://blog.knowbe4.com/threat-actors-behind-mfa-bypass-service-otp-agency-plead-guilty-to-fraud