Secondo un rapporto condiviso da Intel471, società di sicurezza informatica, i bot OTP (one-time password), utilizzati per ingannare gli utenti a fornire l'accesso ai loro crypto account, risultano essere "notevolmente facili da usare e gestire" in relazione alla quantità di denaro che è possibile ottenere con un attacco ben congegnato.
BloodOTPbot, noto bot di Telegram, richiede agli hacker una fee mensile di soli 300 dollari per accedere. I truffatori hanno anche la possibilità di spendere un extra tra i 20 e i 100$ per ottenere ulteriori strumenti di phishing che prendono di mira i singoli account su Instagram, Facebook (NASDAQ:FB) e Twitter, servizi finanziari come PayPal (NASDAQ:PYPL) e Venmo, e piattaforme crypto come Coinbase (NASDAQ:COIN).
I bot OTP sono particolarmente dannosi, in quanto rappresentano generalmente lo step finale nel processo di hacking, a seguito dell'ottenimento di tutte le informazioni personali necessarie della vittima, procedura nota nel linguaggio hacker come "fullz". Gli hacker utilizzano il bot OTP per inscenare una telefonata apparentemente ufficiale, mentre contemporaneamente richiedono il codice di autorizzazione a due fattori (2FA) dalla piattaforma crypto utilizzata dall'utente. Una volta che l'utente, tipicamente agitato, divulga il codice, gli hacker ottengono l'accesso immediato e totale al conto della vittima.