OTP-bedrageri er en form for svindel, hvor en gerningsperson forsøger at få fat i en engangskode, også kaldet en OTP, for at gennemføre en uautoriseret handling. OTP står for "one-time password" eller engangskode og bruges ofte som ekstra sikkerhed ved login, kortbetalinger og overførsler. Selve koden er ikke farlig, men hvis den havner i de forkerte hænder, kan den blive brugt til at godkende transaktioner eller overtage en konto.
Sådan fungerer OTP-bedrageri
I praksis starter OTP-bedrageri ofte med, at svindleren skaber en troværdig og presset situation. Det kan være en falsk bankmedarbejder, en besked om mistænkelig aktivitet eller en e-mail, der ligner en officiel henvendelse. Målet er at få offeret til hurtigt at oplyse den kode, som netop er sendt via sms, app eller e-mail.
Svindleren har typisk allerede skaffet sig nogle oplysninger, for eksempel kortdata, loginoplysninger eller personlige detaljer. OTP-koden bliver så det sidste led, der gør det muligt at gennemføre en betaling eller logge ind. I nogle tilfælde sker det i realtid, mens offeret taler med svindleren i telefonen, så koden kan bruges med det samme, før den udløber.
Hvorfor virker det, og hvordan undgår man det
OTP-bedrageri virker, fordi engangskoder er designet til at bekræfte, at brugeren selv godkender en handling. Når offeret udleverer koden, ser systemet det ofte som et gyldigt samtykke. Derfor handler denne svindelform mere om manipulation end om teknisk hacking.
Den vigtigste regel er enkel: Del aldrig en OTP med andre, heller ikke med nogen, der siger, at de ringer fra banken, en myndighed eller en virksomhed. Begrebet er vigtigt i nyhedsbilledet, fordi digital svindel fylder stadig mere i takt med, at flere betalinger og hverdagsgøremål foregår online.