2 要素認証 (2FA) はもはや完璧なセキュリティではありません。図

新しい攻撃形態

2 要素認証 (2FA) は、サイバーセキュリティにおける標準的なセキュリティ機能となっています。このフォームでは、ユーザーは 2 番目の認証手順 (通常はテキスト メッセージ、電子メール、または認証アプリ経由で送信されるワンタイム パスワード (OTP)) を使用して本人確認を行う必要があります。この追加のセキュリティ層は、パスワードが盗まれた場合でもユーザーのアカウントを保護することを目的としています。

2FA は多くの Web サイトで広く採用されており、組織でも必須となっていますが、最近、Kaspersky のサイバーセキュリティ専門家は、サイバー犯罪者が 2FA を回避するために使用するフィッシング攻撃を発見しました。

それに応じて、サイバー攻撃者は、フィッシングと自動化された OTP ボットを組み合わせてユーザーを騙し、アカウントに不正にアクセスするなど、より洗練された形態のサイバー攻撃に移行しています。具体的には、詐欺師はユーザーを騙してこれらの OTP を明らかにさせ、2FA 保護を回避できるようにします。

サイバー犯罪者は、フィッシングと自動 OTP ボットを組み合わせてユーザーを騙し、アカウントに不正にアクセスします。図

高度なツールである OTP ボットでさえ、ソーシャル エンジニアリング攻撃を通じて OTP コードを傍受する詐欺師によって使用されます。したがって、攻撃者はフィッシングやデータの脆弱性を悪用するなどの方法を使用して、被害者のログイン情報を盗もうとすることがよくあります。次に、被害者のアカウントにログインし、被害者の携帯電話に OTP コードを送信します。

次に、OTP ボットは信頼できる組織の従業員になりすまして被害者に自動的に電話をかけ、事前にプログラムされた会話スクリプトを使用して、被害者に OTP コードを明かすよう説得します。最後に、攻撃者はボットを通じて OTP コードを受信し、それを使用して被害者のアカウントに不正にアクセスします。

詐欺師は、被害者がより早く反応する傾向があるため、テキストメッセージよりも音声通話を好むことが多いです。したがって、OTP ボットは、通話中の人間の口調と緊急性をシミュレートして、信頼感と説得感を生み出します。

詐欺師は、特別なオンライン コントロール パネルや Telegram などのメッセージング プラットフォームを通じて OTP ボットを制御します。これらのボットにはさまざまな機能やサブスクリプション パッケージも付属しており、攻撃者が行動しやすくなります。したがって、攻撃者はボットの機能をカスタマイズして、組織になりすましたり、複数の言語を使用したり、男性または女性の声のトーンを選択したりすることもできます。さらに、高度なオプションには電話番号のなりすましも含まれており、これは発信者の電話番号が正当な組織からのものであるように見せかけて、被害者を巧妙に欺くことを目的としています。

テクノロジーが発展するにつれて、アカウント保護の強化が求められます。図

OTP ボットを使用するには、詐欺師はまず被害者のログイン資格情報を盗む必要があります。多くの場合、銀行、電子メール サービス、その他のオンライン アカウントの正規のログイン ページとまったく同じに見えるように設計されたフィッシング Web サイトが使用されます。被害者がユーザー名とパスワードを入力すると、詐欺師は即座に（リアルタイムで）この情報を自動的に収集します。

2024年3月1日から5月31日までの間に、カスペルスキーのセキュリティソリューションは、銀行を狙ったフィッシングキットによって作成されたWebサイトへの653,088件のアクセスをブロックしました。これらの Web サイトから盗まれたデータは、OTP ボット攻撃でよく使用されます。同じ期間に、専門家は、2要素認証をリアルタイムで回避することを目的としたツールキットによって作成されたフィッシングWebサイトを4,721件発見しました。

一般的なパスワードを作成しない

カスペルスキーのセキュリティ専門家、オルガ・スヴィストゥノヴァ氏は次のように述べています。「ソーシャルエンジニアリング攻撃は、特にサービス担当者からの電話を偽装する機能を備えたワンタイムパスワード（OTP）ボットの出現により、非常に巧妙な詐欺手法とみなされています。警戒を怠らないためには、常に注意を払い、セキュリティ対策を遵守することが重要です。」

ハッカーは、単にスマートな推測アルゴリズムを使用して、パスワードを簡単に解読します。図

6月初旬にカスペルスキーの専門家がスマート推測アルゴリズムを使用して行った1億9,300万件のパスワードの分析では、情報窃盗犯によって盗まれダークネットで販売されたパスワードでもあり、45%（8,700万件のパスワードに相当）が1分以内に解読される可能性があることが示されました。攻撃に耐えられるほど強力だと考えられるパスワードの組み合わせはわずか23%（4,400万）で、これらのパスワードを解読するには1年以上かかる。ただし、残りのパスワードのほとんどは、1 時間から 1 か月以内に解読される可能性があります。

さらに、サイバーセキュリティの専門家は、ユーザーがパスワードを設定する際に最もよく使用される文字の組み合わせも明らかにしました。名前:「ahmed」、「nguyen」、「kumar」、「kevin」、「daniel」など。人気の単語: 「永遠」、「愛」、「グーグル」、「ハッカー」、「ゲーマー」標準パスワード: 「password」、「qwerty12345」、「admin」、「12345」、「team」。

分析の結果、辞書に載っていない単語、小文字と大文字、数字、記号などを含む強力なパスワードの組み合わせが含まれていたのはパスワードのわずか19%でした。同時に、この調査では、強力なパスワードの39%は、スマートアルゴリズムによって1時間以内に推測できることも判明した。

興味深いことに、攻撃者はパスワードを解読するために専門知識や高度な機器を所有する必要はありません。たとえば、専用のラップトップ プロセッサは、ブルート フォース攻撃によって 8 文字または小文字の数字のパスワードの組み合わせをわずか 7 分で正確に解読できます。さらに、統合グラフィック カードは同じタスクを 17 秒で処理します。さらに、スマートなパスワード推測アルゴリズムでは、文字 (「3」の代わりに「e」、「!」の代わりに「1」、「@」の代わりに「a」) や一般的な文字列 (「qwerty」、「12345」、「asdfg」) が置き換えられる傾向があります。

ハッカーが推測しにくくなるように、ランダムな文字列を含むパスワードを使用します。図

「人は無意識のうちに、名前や数字など母国語の辞書に載っている単語を使って、非常に単純なパスワードを作る傾向があります。たとえ強力なパスワードの組み合わせであっても、この傾向から外れることはほとんどなく、アルゴリズムによって完全に予測可能になります」と、カスペルスキーのデジタルフットプリントインテリジェンス責任者、ユリア・ノビコワ氏は述べています。

したがって、最も信頼できる解決策は、最新の信頼できるパスワード マネージャーを使用して完全にランダムなパスワードを生成することです。このようなアプリケーションは大量のデータを安全に保存し、ユーザー情報を包括的かつ強力に保護します。

パスワードの強度を高めるために、ユーザーは次の簡単なヒントを適用できます。ネットワーク セキュリティ ソフトウェアを使用してパスワードを管理します。サービスごとに異なるパスワードを使用してください。こうすることで、アカウントの 1 つがハッキングされたとしても、他のアカウントは安全です。パスフレーズは、ユーザーがパスワードを忘れた場合にアカウントを回復するのに役立ちます。あまり一般的ではない単語を使用する方が安全です。さらに、オンライン サービスを使用してパスワードの強度を確認することもできます。

誕生日、家族の名前、ペットの名前、ニックネームなどの個人情報をパスワードとして使用しないでください。これらは、攻撃者がパスワードを解読するときに最初に試すオプションであることが多いです。