Drie Britse mannen die een website beheerden waarmee criminelen one-time passwords (OTP) van slachtoffers probeerden te ontfutselen hebben in het Verenigd Koninkrijk (VK) schuld bekend. OTP.Agency maakte gebruik van een abonnementsvorm en richtte zich vooral op phishers die al over de inloggegevens van hun slachtoffers beschikten en nog een OTP-code nodig hadden om op accounts in te loggen.

Klanten van OTP.Agency konden het telefoonnummer van hun slachtoffers invoeren, die vervolgens werden gebeld en een opgenomen bericht kregen te horen dat er ongeautoriseerde activiteit op hun rekening had plaatsgevonden. Vervolgens werd het slachtoffer gevraagd om via een app op zijn telefoon een OTP-code te genereren en die op de telefoon in te voeren. De ingevoerde OTP-code werd daarna doorgestuurd naar de klant van OTP.Agency.

Volgens het Britse National Crime Agency (NCA) zijn tussen september 2019 en maart 2021 ruim twaalfduizend mensen via de dienst van OTP.Agency aangevallen. Criminelen die de dienst gebruikten betaalden 30 pond per week voor het standaard abonnement. Het "elite" abonnement kostte 380 pond per week. De drie beheerders, van 19, 21, 22 jaar, werden vorig jaar in het VK aangeklaagd en hebben nu schuld bekend, zo meldt het NCA.