Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Attack technique

Attack technique

Facebook memperingatkan 1 juta pengguna tentang nama pengguna dan kata sandi yang dicuri

by

Meta Platforms mengatakan akan memberi tahu sekitar 1 juta pengguna Facebook bahwa kredensial akun mereka mungkin telah disusupi karena masalah keamanan dengan aplikasi yang diunduh dari toko perangkat lunak Apple dan Alphabet.

Perusahaan mengumumkan pada hari Jumat bahwa mereka mengidentifikasi lebih dari 400 aplikasi Android dan iOS berbahaya tahun ini yang menargetkan pengguna internet untuk mencuri informasi login mereka. Meta mengatakan itu memberi tahu Apple dan Google tentang masalah ini untuk memfasilitasi penghapusan aplikasi.

Aplikasi tersebut bekerja dengan menyamar sebagai editor foto, game seluler, atau pelacak kesehatan, kata Facebook.

Apple mengatakan 45 dari 400 aplikasi bermasalah ada di App Store dan telah dihapus. Google menghapus semua aplikasi berbahaya yang dimaksud, kata seorang juru bicara.

“Penjahat dunia maya tahu betapa populernya jenis aplikasi ini, dan mereka akan menggunakan tema serupa untuk mengelabui orang dan mencuri akun dan informasi mereka,” kata David Agranovich, direktur gangguan ancaman global di Meta. “Jika sebuah aplikasi menjanjikan sesuatu yang terlalu bagus untuk menjadi kenyataan, seperti fitur yang belum dirilis untuk platform lain atau situs media sosial, kemungkinan besar aplikasi tersebut memiliki motif tersembunyi.”

Penipuan tipikal akan terungkap, misalnya, setelah pengguna mengunduh salah satu aplikasi berbahaya. Aplikasi akan membutuhkan login Facebook untuk bekerja di luar fungsi dasar, sehingga menipu pengguna untuk memberikan nama pengguna dan kata sandi mereka. Pengguna kemudian dapat, misalnya, mengunggah foto yang diedit ke akun Facebook mereka. Namun dalam prosesnya, mereka tanpa sadar mengkompromikan akun mereka dengan memberi penulis akses aplikasi.

Selengkapnya: Seattle Times

Malware Prilex ditingkatkan untuk melewati keamanan kartu kredit

by

Analis keamanan telah mengamati tiga versi baru malware penargetan Prilex PoS tahun ini, yang menunjukkan bahwa pembuat dan operatornya kembali beraksi.

Prilex dimulai sebagai malware yang berfokus pada ATM pada tahun 2014 dan beralih ke perangkat PoS (point of sale) pada tahun 2016. Disaat pengembangan dan distribusi mencapai puncaknya pada tahun 2020, malware tersebut menghilang pada tahun 2021.

Analis Kaspersky sekarang melaporkan bahwa Prilex telah kembali, dan jeda operasional tahun lalu tampaknya menjadi jeda untuk fokus mengembangkan versi yang lebih canggih dan kuat.

Angsuran terbaru mampu menghasilkan kriptogram EMV (Europay, MasterCard, dan Visa), yang diperkenalkan pada tahun 2019 oleh VISA sebagai sistem validasi transaksi untuk membantu mendeteksi dan memblokir penipuan pembayaran.

Hal tersebut juga memungkinkan pelaku ancaman untuk menggunakan kriptogram EMV (pesan terenkripsi antara kartu dan pembaca yang berisi detail transaksi) untuk melakukan ‘transaksi GHOST’ bahkan menggunakan kartu kredit yang dilindungi dengan teknologi CHIP dan PIN.

Rantai serangan malware Prilex (Kaspersky)

Infeksi dimulai dengan email spear phishing yang menyamar sebagai teknisi dari vendor PoS, menuduh bahwa perusahaan perlu memperbarui perangkat lunak PoS-nya.

Selanjutnya, teknisi palsu mengunjungi lokasi target secara langsung dan menginstal pembaruan berbahaya di terminal PoS.

Atau, penyerang mengarahkan korban untuk menginstal alat akses jarak jauh AnyDesk di komputer mereka dan kemudian menggunakannya untuk mengganti firmware PoS dengan versi yang dicampur.

Setelah infeksi, operator akan mengevaluasi mesin untuk menentukan apakah target cukup produktif dalam hal volume transaksi keuangan atau tidak sepadan dengan waktu mereka.

Versi Prilex baru telah menambahkan pintu belakang untuk komunikasi, pencuri untuk mencegat semua pertukaran data, dan modul pengunggah untuk eksfiltrasi.

Modul pencurinya menggunakan pengait pada beberapa API Windows untuk mengintip saluran komunikasi antara bantalan PIN dan perangkat lunak PoS dan dapat memodifikasi konten transaksi, menangkap informasi kartu, dan meminta kriptogram EMV baru dari kartu.

Informasi yang diambil disimpan dalam bentuk terenkripsi secara lokal di komputer yang disusupi dan secara berkala diunggah ke server command and control (C2) malware melalui permintaan HTTP POST.

“Grup Prilex telah menunjukkan tingkat pengetahuan yang tinggi tentang transaksi kartu kredit dan debit, dan bagaimana perangkat lunak yang digunakan untuk pemrosesan pembayaran bekerja,” Kaspersky menyimpulkan.

“Ini memungkinkan penyerang untuk terus memperbarui alat mereka untuk menemukan cara untuk menghindari kebijakan otorisasi, memungkinkan mereka untuk melakukan serangan mereka.”

Sumber: Bleeping Computer

Fitur PyPI Mengeksekusi Kode Secara Otomatis Setelah Unduhan Paket Python

by

Dalam temuan lain yang dapat mengekspos pengembang pada peningkatan risiko serangan supply chain (rantai pasokan), telah muncul bahwa hampir sepertiga dari paket di PyPI, Indeks Paket Python, memicu eksekusi kode otomatis setelah mengunduhnya.

Salah satu cara menginstal paket untuk Python adalah dengan menjalankan perintah “pip install”, yang, pada gilirannya, memanggil file bernama “setup.py” yang disertakan bersama modul.

“setup.py,” seperti namanya, adalah skrip penyiapan yang digunakan untuk menentukan metadata yang terkait dengan paket, termasuk dependensinya.

Sementara pelaku ancaman telah menggunakan kode berbahaya dalam file setup.py, Checkmarx menemukan bahwa musuh dapat mencapai tujuan yang sama dengan menjalankan apa yang disebut perintah “pip download”.

“pip download melakukan resolusi dan pengunduhan yang sama dengan pemasangan pip, tetapi alih-alih menginstal dependensi, ia mengumpulkan distribusi yang diunduh ke direktori yang disediakan (secara default ke direktori saat ini),” tulis dokumentasi.

Dengan kata lain, perintah tersebut dapat digunakan untuk mengunduh paket Python tanpa harus menginstalnya di sistem. Tetapi ternyata, menjalankan perintah unduhan juga menjalankan skrip “setup.py” yang disebutkan di atas, yang mengakibatkan eksekusi kode berbahaya yang terkandung di dalamnya.

Namun, perlu diperhatikan bahwa masalah hanya terjadi ketika paket berisi file tar.gz alih-alih file wheel (.whl), yang “memotong eksekusi ‘setup.py’ dari persamaan.”

Meskipun pip default untuk menggunakan roda alih-alih file tar.gz, penyerang dapat memanfaatkan perilaku ini untuk secara sengaja menerbitkan paket python tanpa file .whl, yang mengarah ke eksekusi kode berbahaya yang ada di skrip pengaturan.

“Ketika pengguna mengunduh paket python dari PyPi, pip akan lebih memilih menggunakan file .whl, tetapi akan kembali ke file tar.gz jika file .whl tidak ada,” kata Gelb.

Temuan itu muncul saat Badan Keamanan Nasional AS (NSA), bersama dengan Badan Keamanan Siber dan Infrastruktur (CISA) dan Kantor Direktur Intelijen Nasional (ODNI), merilis panduan untuk mengamankan supply chain perangkat lunak.

Sumber: The Hackernews

Peretas menyembunyikan malware di gambar teleskop James Webb

by

Kampanye malware berbasis Golang yang terus-menerus dijuluki GO#WEBBFUSCATOR telah memanfaatkan gambar lapangan yang diambil dari Teleskop Luar Angkasa James Webb (JWST) NASA sebagai iming-iming untuk menyebarkan muatan berbahaya pada sistem yang terinfeksi.

Perkembangan tersebut, diungkapkan oleh Securonix, menunjuk pada adopsi Go yang berkembang di antara para pelaku ancaman, mengingat dukungan lintas platform bahasa pemrograman, yang secara efektif memungkinkan operator untuk memanfaatkan basis kode umum untuk menargetkan sistem operasi yang berbeda.

Go binari juga memiliki manfaat tambahan dari analisis rendering dan rekayasa balik yang sulit dibandingkan dengan malware yang ditulis dalam bahasa lain seperti C++ atau C#, belum lagi memperpanjang upaya analisis dan deteksi.

Email phishing yang berisi lampiran Microsoft Office bertindak sebagai titik masuk untuk rantai serangan yang, ketika dibuka, mengambil makro VBA yang dikaburkan, yang, pada gilirannya, dijalankan secara otomatis jika penerima mengaktifkan makro.

Eksekusi hasil makro dalam unduhan file gambar “OxB36F8GEEC634.jpg” yang tampaknya merupakan gambar First Deep Field yang ditangkap oleh JWST tetapi, ketika diperiksa menggunakan editor teks, sebenarnya adalah muatan yang dikodekan Base64.

“Kode [makro] yang dideobfuscate mengeksekusi [perintah] yang akan mengunduh file bernama OxB36F8GEEC634.jpg, gunakan certutil.exe untuk mendekodekannya menjadi biner (msdllupdate.exe) dan akhirnya, jalankan,” peneliti Securonix D. Iuzvyk , T. Peck, dan O. Kolesnikov berkata.

Biner, Windows 64-bit yang dapat dieksekusi dengan ukuran 1.7MB, tidak hanya dilengkapi untuk terbang di bawah radar mesin antimalware, tetapi juga dikaburkan melalui teknik yang disebut gobfuscation, yang menggunakan alat obfuscation Golang secara publik tersedia di GitHub.

Pustaka gobfuscate sebelumnya telah didokumentasikan seperti yang digunakan oleh aktor di belakang ChaChi, trojan akses jarak jauh yang digunakan oleh operator ransomware PYSA (alias Mespinoza) sebagai bagian dari perangkat mereka, dan kerangka kerja perintah-dan-kontrol (C2) Sliver.

Komunikasi dengan server C2 difasilitasi melalui kueri dan respons DNS terenkripsi, memungkinkan malware untuk menjalankan perintah yang dikirim oleh server melalui Prompt Perintah Windows (cmd.exe). Domain C2 untuk kampanye dikatakan telah didaftarkan pada akhir Mei 2022.

Keputusan Microsoft untuk memblokir makro secara default di seluruh aplikasi Office telah menyebabkan banyak musuh mengubah kampanye mereka dengan beralih ke file LNK dan ISO jahat untuk menyebarkan malware. Masih harus dilihat apakah aktor GO#WEBBFUSCATOR akan menggunakan metode serangan serupa.

Sumber: The Hackernews

Peretas menyalahgunakan sistem anti-cheat Genshin Impact untuk menonaktifkan antivirus

by

Peretas menyalahgunakan driver sistem anti-cheat untuk game Genshin Impact yang sangat populer untuk menonaktifkan perangkat lunak antivirus saat melakukan serangan ransomware.

Driver/modul, “mhypro2.sys,” tidak memerlukan sistem target untuk menginstal game, dan dapat beroperasi secara independen atau bahkan tertanam dalam malware, menawarkan kerentanan kuat kepada pelaku ancaman yang dapat menonaktifkan perangkat lunak keamanan.

Driver yang rentan telah dikenal sejak tahun 2020 dan memberikan akses ke memori proses/kernel apa pun dan kemampuan untuk menghentikan proses menggunakan hak istimewa tertinggi.

Peneliti melaporkan masalah ini ke vendor beberapa kali di masa lalu. Namun, sertifikat penandatanganan kode belum dicabut, sehingga program masih dapat diinstal pada Windows tanpa menimbulkan alarm apa pun.

Lebih buruk lagi, setidaknya ada dua eksploitasi proof-of-concept [1, 2] di GitHub sejak 2020, dengan detail lengkap tentang cara membaca/menulis memori kernel dengan hak istimewa mode kernel dari mode pengguna, menghitung utas, dan mengakhiri proses.

Dalam laporan baru oleh Trend Micro, para peneliti telah melihat bukti pelaku ancaman menyalahgunakan driver ini sejak akhir Juli 2022, dengan pelaku ransomware menggunakannya untuk menonaktifkan solusi perlindungan titik akhir yang dikonfigurasi dengan benar.

Pelaku ancaman menggunakan ‘secretsdump’ dan ‘wmiexec’ terhadap titik akhir yang ditargetkan dan kemudian terhubung ke pengontrol domain melalui RDP menggunakan kredensial admin yang diambil.

Tindakan pertama yang diambil pada mesin yang disusupi adalah mentransfer mhyprot2.sys ke desktop bersama dengan ‘kill_svc.exe’ yang dapat dieksekusi, yang digunakan untuk menginstal driver.

Selanjutnya, penyusup menjatuhkan ‘avg.msi’, yang pada gilirannya menjatuhkan dan mengeksekusi empat file berikut:

  • logon.bat – Sebuah file batch yang mengeksekusi HelpPane.exe, membunuh antivirus dan layanan lainnya, dan mengeksekusi svchost.exe
  • HelpPane.exe – File berbahaya yang menyamar sebagai Bantuan dan Dukungan Microsoft yang dapat dieksekusi; mirip dengan kill_svc.exe, ia menginstal mhyprot2.sys dan mematikan layanan antivirus
  • mhyprot2.sys – Driver anti-cheat Genshin Impact yang rentan
  • svchost.exe – Payload ransomware

Trend Micro berkomentar bahwa pelaku ancaman mencoba dan gagal tiga kali untuk mengenkripsi file di workstation yang diserang, tetapi layanan antivirus berhasil dinonaktifkan. Akhirnya, musuh memindahkan “logon.bat” di desktop dan mengeksekusinya secara manual, yang berhasil.

Peluncuran manual HelpPane.exe (Trend Micro)

Terakhir, pelaku ancaman memuat driver, ransomware, dan ‘kill_svc.exe’ yang dapat dieksekusi pada jaringan berbagi untuk penyebaran massal, yang bermaksud menginfeksi lebih banyak workstation.

Ikhtisar serangan aktor Ransomware (Trend Micro)

Trend Micro memperingatkan bahwa penyebaran modul anti-cheat oleh peretas dapat meningkat, karena bahkan jika vendor merespons dan memperbaiki kekurangannya, versi lama akan terus beredar.

Riset keamanan Kevin Beaumont menyarankan agar admin dapat mempertahankan diri dari ancaman ini dengan memblokir hash “0466e90bf0e83b776ca8716e01d35a8a2e5f96d3” pada solusi keamanan mereka, yang sesuai dengan driver mhypro2.sys yang rentan.

Terakhir, pembela harus memantau log peristiwa untuk instalasi layanan tertentu, bernama “mhyprot2.”

Sumber: Bleeping Computer

Bagaimana peretas ‘Kimsuky’ memastikan malware mereka hanya mencapai target yang valid

by

Aktor ancaman ‘Kimsuky’ Korea Utara akan berusaha keras untuk memastikan bahwa muatan berbahaya mereka hanya diunduh oleh target yang valid dan bukan pada sistem peneliti keamanan.

Menurut laporan Kaspersky yang diterbitkan hari ini, kelompok ancaman telah menggunakan teknik baru untuk menyaring permintaan unduhan yang tidak valid sejak awal tahun 2022, ketika kelompok tersebut meluncurkan kampanye baru terhadap berbagai target di semenanjung Korea.

Perlindungan baru yang diterapkan oleh Kimsuky sangat efektif sehingga Kaspersky melaporkan ketidakmampuan untuk memperoleh muatan akhir bahkan setelah berhasil terhubung ke server perintah dan kontrol pelaku ancaman.

Serangan yang ditemukan oleh Kaspersky dimulai dengan email phishing yang dikirim ke politisi, diplomat, profesor universitas, dan jurnalis di Korea Utara dan Selatan.

Kaspersky dapat mengkompilasi daftar target potensial berkat skrip C2 yang diambil yang berisi sebagian alamat email target.

Target potensial yang diturunkan oleh Kaspersky

Email berisi tautan yang membawa korban ke server C2 tahap pertama yang memeriksa dan memverifikasi beberapa parameter sebelum mengirimkan dokumen berbahaya. Jika pengunjung tidak cocok dengan daftar target, mereka akan disuguhi dokumen yang tidak berbahaya.

Parameter termasuk alamat email pengunjung, OS (Windows valid), dan file “[who].txt” yang dijatuhkan oleh server tahap kedua.

Pada saat yang sama, alamat IP pengunjung diteruskan ke server C2 tahap kedua sebagai parameter pemeriksaan berikutnya.

Dokumen yang dijatuhkan oleh C2 tahap pertama berisi makro berbahaya yang menghubungkan korban ke C2 tahap kedua, mengambil muatan tahap berikutnya, dan menjalankannya dengan proses mshta.exe.

Beberapa dokumen dikirim ke target (Kaspersky)

Payload adalah file .HTA yang juga membuat tugas terjadwal untuk eksekusi otomatis. Fungsinya untuk profil korban dengan memeriksa jalur folder ProgramFiles, nama AV, nama pengguna, versi OS, versi MS Office, versi .NET framework, dan banyak lagi.

Hasil sidik jari disimpan dalam string (“chnome”), salinan dikirim ke C2, dan muatan baru diambil dan didaftarkan dengan mekanisme persistensi.

Payload berikutnya adalah file VBS yang dapat membawa korban ke blog yang sah atau, jika targetnya valid, bawa mereka ke fase download payload berikutnya.

Ini adalah saat sistem korban diperiksa untuk keberadaan string “chnome” yang tidak biasa, yang sengaja salah eja untuk berfungsi sebagai validator unik yang masih tidak menimbulkan kecurigaan.

Proses infeksi terbaru Kimsuky (Kaspersky)

Sayangnya, Kaspersky tidak dapat melanjutkan dari sini dan mengambil payload tahap berikutnya, jadi apakah itu akan menjadi yang terakhir atau jika ada sebagian besar langkah validasi masih belum diketahui.

Kimsuky adalah aktor ancaman yang sangat canggih yang baru-baru ini terlihat menyebarkan malware khusus dan menggunakan ekstensi Google Chrome untuk mencuri email dari korban.

Kampanye yang disorot oleh Kaspersky menggambarkan teknik rumit yang digunakan oleh peretas Korea untuk menghalangi analisis dan membuat pelacakan mereka jauh lebih sulit.

Sumber:

Situs WordPress diretas dengan peringatan Cloudflare DDoS palsu yang mendorong malware

by

Situs WordPress diretas untuk menampilkan halaman perlindungan Cloudflare DDoS palsu untuk mendistribusikan malware yang menginstal NetSupport RAT dan Trojan pencuri kata sandi RaccoonStealer.

Seperti yang dirinci dalam laporan oleh Sucuri, aktor ancaman meretas situs WordPress yang tidak terlindungi dengan baik untuk menambahkan muatan JavaScript yang sangat dikaburkan yang menampilkan layar DDoS perlindungan Cloudflare palsu.

Layar ini, yang ditunjukkan di bawah, meminta pengunjung mengklik tombol untuk melewati layar perlindungan DDoS. Namun, mengklik tombol akan mengunduh file ‘security_install.iso’ ke komputer, yang berpura-pura menjadi alat yang diperlukan untuk melewati verifikasi DDoS.

Korban kemudian disuruh membuka security_install.iso, yang mereka anggap sebagai aplikasi bernama DDOS GUARD, dan memasukkan kode yang ditampilkan.

Prompt kode verifikasi (atas) dan generator (bawah) (Sucuri)

Ketika pengguna membuka security_install.iso, mereka akan melihat file bernama security_install.exe, yang sebenarnya adalah pintasan Windows yang menjalankan perintah PowerShell dari file debug.txt.

Isi file security_install.iso
Sumber: BleepingComputer

Pada akhirnya, ini menyebabkan serangkaian skrip berjalan yang menampilkan kode DDoS palsu yang diperlukan untuk melihat situs, serta menginstal NetSupport RAT, trojan akses jarak jauh yang digunakan secara ekstensif dalam kampanye jahat saat ini.

Selain itu, skrip akan mengunduh trojan pencuri kata sandi Raccoon Stealer dan meluncurkannya di perangkat.

Rantai serangan perlindungan Cloudflare DDoS (Sucuri) palsu

Raccoon 2.0 menargetkan kata sandi, cookie, data pengisian otomatis, dan kartu kredit yang disimpan di browser web, berbagai dompet cryptocurrency, dan juga mampu melakukan eksfiltrasi file dan mengambil tangkapan layar dari desktop korban.

Admin harus memeriksa file tema situs WordPress mereka, karena menurut Sucuri, ini adalah titik infeksi paling umum dalam kampanye ini.

Kode berbahaya ditemukan di jquery.min.js (Sucuri)

Selain itu, disarankan untuk menggunakan sistem pemantauan integritas file untuk menangkap injeksi JS tersebut saat terjadi dan mencegah situs Anda menjadi titik distribusi RAT.

Pengguna internet dapat melindungi diri dari ancaman semacam itu dengan mengaktifkan pengaturan pemblokiran skrip yang ketat di browser mereka, meskipun itu akan merusak fungsionalitas hampir semua situs.

Sumber: Bleeping Computer

Bot Pencuri One-Time Passwords Menyederhanakan Skema Penipuan

by

Kata sandi satu kali (OTP) adalah bentuk otentikasi multi-faktor (MFA) yang sering digunakan untuk memberikan lapisan perlindungan tambahan di luar kata sandi dasar.

OTP adalah kata sandi dinamis yang biasanya terdiri dari 4 hingga 8 angka tetapi terkadang juga menyertakan huruf.

Cara utama untuk memberikan kode OTP kepada pengguna adalah melalui SMS, email, atau aplikasi otentikasi seluler seperti Authy. Karena OTP melindungi akun korban dari akses atau transaksi yang tidak sah, penjahat dunia maya terus mengembangkan berbagai cara untuk mem-bypass dan mengatasinya.

Selama setahun terakhir, pelaku ancaman telah semakin mengembangkan, mengiklankan, dan menggunakan bot untuk mengotomatiskan pencurian OTP, membuatnya lebih mudah dan lebih murah bagi pelaku ancaman untuk melewati perlindungan OTP dalam skala besar.

Karena bot pemintas OTP memerlukan sedikit keahlian teknis dan keterampilan bahasa yang minimal untuk beroperasi, bot pemintas OTP juga meningkatkan jumlah pelaku ancaman yang mampu melewati perlindungan OTP.

Bot bypass OTP biasanya berfungsi dengan mendistribusikan panggilan suara atau pesan SMS ke target, meminta target untuk memasukkan OTP, dan, jika berhasil, mengirimkan OTP yang dimasukkan kembali ke pelaku ancaman yang mengoperasikan bot.

Tercatat Analis masa depan mengidentifikasi dan menguji bot bypass OTP open-source bernama “SMSBypassBot” yang diiklankan di saluran Telegram yang berfokus pada penipuan dan mengonfirmasi bahwa itu berfungsi seperti yang diiklankan dan mudah dikonfigurasi dan digunakan.

Meningkatnya penggunaan OTP oleh berbagai layanan yang sah (terutama untuk mengautentikasi login akun online, transfer uang, dan pembelian 3-Domain Secure-enabled [3DS]) menciptakan permintaan kriminal dunia maya paralel untuk metode memperoleh dan melewati OTP.

Key Findings

  • Aktivitas forum web gelap terkait dengan bypass OTP (diukur dengan volume postingan dan penayangan postingan terkait topik) meningkat tajam pada tahun 2020 dan tetap tinggi sejak saat itu.
  • Metode tradisional untuk melewati OTP (melakukan pertukaran kartu SIM, pemaksaan kasar, menyalahgunakan sistem otentikasi yang tidak dikonfigurasi dengan baik, dan rekayasa sosial manual) telah menjadi memakan waktu dan lebih menantang secara teknis.
  • Bot bypass OTP menggabungkan teknik rekayasa sosial dan phishing suara (vishing) dengan antarmuka yang mudah digunakan untuk menyediakan metode yang sebagian otomatis, terjangkau, dan skalabel untuk mendapatkan OTP korban.
    Latar belakang
  • Otentikasi multi-faktor (MFA) memberikan lapisan keamanan tambahan lebih dari sekadar kata sandi statis, dengan Microsoft melaporkan bahwa MFA dapat memblokir lebih dari 99,9% serangan kompromi akun. Kata sandi satu kali (OTP) adalah bentuk MFA yang menggunakan string karakter yang dibuat secara otomatis (biasanya nilai numerik tetapi terkadang alfanumerik) untuk mengautentikasi pengguna.

Penyedia layanan, lembaga keuangan, dan pedagang menggunakan OTP untuk berbagai tujuan termasuk mengautentikasi login akun online, transfer uang, dan transaksi kartu pembayaran berkemampuan 3DS. Peningkatan adopsi OTP selama dekade terakhir telah menyebabkan pelaku ancaman untuk mengembangkan metode melewati OTP untuk mendapatkan akses tidak sah ke akun online dan melakukan transfer uang dan transaksi penipuan.

Sumber: Recorded Future