OTP-коды считаются эффективным средством защиты от фишинговых атак, потому что они запрашиваются сервисом в момент логина пользователя как дополнительный метод проверки. 2 Этот код действует ограниченное время и позволяет убедиться, что в учётную запись входит действительно её владелец. 2

Однако даже при наличии второго фактора аутентификации личные аккаунты остаются потенциально уязвимыми для OTP-ботов — автоматизированного ПО, способного выманивать у пользователей одноразовые пароли методом социальной инженерии. 2 Например, злоумышленники могут завладеть учётными данными жертвы, зайти в её аккаунт и получить запрос на ввод OTP-кода. 2 Затем OTP-бот позвонит жертве и с помощью заранее заготовленного скрипта потребует от неё ввести полученный код. 2

Чтобы защитить свои учётные записи от мошенников, эксперты рекомендуют не открывать подозрительные ссылки напрямую, проверять корректность адреса сайта перед вводом учётных данных, не произносить и не вводить одноразовые пароли во время телефонных звонков, а также использовать надёжные антивирусные решения, блокирующие фишинговые страницы. 4