Двухфакторная аутентификация (2FA) больше не является надежным средством защиты. Иллюстрация

Новая форма атаки

Двухфакторная аутентификация (2FA) стала стандартной функцией безопасности в кибербезопасности. Эта форма требует от пользователей подтверждения своей личности с помощью второго этапа аутентификации, обычно с помощью одноразового пароля (OTP), отправляемого в текстовом сообщении, по электронной почте или через приложение-аутентификатор. Этот дополнительный уровень безопасности призван защитить учетную запись пользователя даже в случае кражи его пароля.

Хотя 2FA широко используется многими веб-сайтами и является обязательным требованием организаций, недавно эксперты по кибербезопасности «Лаборатории Касперского» обнаружили фишинговые атаки, используемые киберпреступниками для обхода 2FA.

Соответственно, киберпреступники перешли на более изощренную форму кибератак, комбинируя фишинг с автоматизированными OTP-ботами, чтобы обманывать пользователей и незаконно получать доступ к их аккаунтам. В частности, мошенник обманывает пользователей, заставляя их раскрывать эти одноразовые пароли, чтобы обойти защиту 2FA.

Киберпреступники совмещают фишинг с автоматическими OTP-ботами, чтобы обмануть пользователей и получить несанкционированный доступ к их аккаунтам. Иллюстрация

Даже OTP-боты — сложный инструмент — используются мошенниками для перехвата OTP-кодов посредством атак социальной инженерии. Соответственно, злоумышленники часто пытаются украсть учетные данные жертв, используя такие методы, как фишинг или эксплуатируя уязвимости данных. Затем они входят в учетную запись жертвы, инициируя отправку одноразового пароля на ее телефон.

Затем OTP-бот автоматически позвонит жертве, выдавая себя за сотрудника доверенной организации, используя заранее запрограммированный сценарий разговора, чтобы убедить жертву раскрыть OTP-код. Наконец, злоумышленник получает OTP-код через бота и использует его для получения несанкционированного доступа к аккаунту жертвы.

Мошенники часто предпочитают голосовые звонки текстовым сообщениям, поскольку жертвы, как правило, быстрее реагируют на этот метод. Соответственно, OTP-бот будет имитировать тон и настойчивость человека во время звонка, чтобы создать ощущение доверия и убедительности.

Мошенники управляют OTP-ботами через специальные онлайн-панели управления или платформы обмена сообщениями, такие как Telegram. Эти боты также поставляются с различными функциями и пакетами подписки, что облегчает действия злоумышленников. Соответственно, злоумышленники могут настраивать функции бота, чтобы он выдавал себя за организации, использовал несколько языков и даже выбирал мужской или женский тон голоса. Кроме того, расширенные возможности включают подмену номера телефона, цель которой — выдать номер телефона звонящего за номер реальной организации, чтобы скрытно обмануть жертву.

По мере развития технологий защита аккаунтов становится все более важной. Иллюстрация

Чтобы использовать OTP-бот, мошеннику сначала необходимо украсть учетные данные жертвы. Они часто используют фишинговые веб-сайты, которые выглядят идентично настоящим страницам входа в банки, службы электронной почты или другие онлайн-аккаунты. Когда жертва вводит свое имя пользователя и пароль, мошенник автоматически и мгновенно собирает эту информацию (в режиме реального времени).

В период с 1 марта по 31 мая 2024 года защитные решения «Лаборатории Касперского» заблокировали 653 088 посещений веб-сайтов, созданных фишинговыми наборами, нацеленными на банки. Данные, украденные с этих сайтов, часто используются в атаках OTP-ботов. За тот же период эксперты обнаружили 4721 фишинговый сайт, созданный с помощью наборов инструментов, предназначенных для обхода двухфакторной аутентификации в режиме реального времени.

Не создавайте общие пароли

Ольга Свистунова, эксперт по безопасности компании «Лаборатория Касперского», прокомментировала: «Атаки с использованием социальной инженерии считаются крайне изощренными методами мошенничества, особенно с появлением OTP-ботов, способных легитимно имитировать звонки от представителей сервисов. Чтобы оставаться бдительными, важно сохранять осторожность и соблюдать меры безопасности».

Хакеры просто используют интеллектуальные алгоритмы подбора, чтобы легко подобрать пароли. Иллюстрация

Поскольку анализ 193 миллионов паролей, проведенный экспертами «Лаборатории Касперского» с использованием интеллектуальных алгоритмов угадывания в начале июня, также включал пароли, которые были скомпрометированы и проданы в даркнете информационными ворами, он показал, что 45% (что эквивалентно 87 миллионам паролей) можно было успешно взломать в течение одной минуты; Только 23% (44 миллиона) комбинаций паролей считаются достаточно надежными, чтобы противостоять атакам, и взлом этих паролей займет более года. Однако большинство оставшихся паролей все еще можно взломать в течение периода от 1 часа до 1 месяца.

Кроме того, эксперты по кибербезопасности также раскрыли наиболее часто используемые комбинации символов при создании пользователями паролей, например: Имя: «ahmed», «nguyen», «kumar», «kevin», «daniel»; популярные слова: «навсегда», «любовь», «гугл», «хакер», «геймер»; Стандартный пароль: «password», «qwerty12345», «admin», «12345», «team».

Анализ показал, что только 19% паролей содержали комбинацию надежного пароля, включающую несловарное слово, строчные и заглавные буквы, а также цифры и символы. В то же время исследование также показало, что 39% этих надежных паролей все равно могут быть угаданы интеллектуальными алгоритмами менее чем за час.

Интересно, что для взлома паролей злоумышленникам не нужно обладать специальными знаниями или современным оборудованием. Например, специализированный процессор ноутбука может точно вычислить комбинацию из 8 букв или строчных цифр методом перебора всего за 7 минут. При этом интегрированная видеокарта справится с той же задачей за 17 секунд. Кроме того, интеллектуальные алгоритмы подбора паролей имеют тенденцию заменять символы («e» вместо «3», «1» вместо «!» или «a» вместо «@») и общие строки («qwerty», «12345», «asdfg»).

Используйте пароли со случайными последовательностями символов, чтобы хакерам было сложнее их угадать. Иллюстрация

«Бессознательно люди склонны создавать очень простые пароли, часто используя слова из словаря своего родного языка, такие как имена и цифры... Даже надежные комбинации паролей редко отклоняются от этой тенденции, поэтому они полностью предсказуемы алгоритмами», — отметила Юлия Новикова, руководитель отдела анализа цифровых следов компании «Лаборатория Касперского».

Поэтому наиболее надежным решением является генерация полностью случайного пароля с использованием современных и надежных менеджеров паролей. Такие приложения могут безопасно хранить большие объемы данных, обеспечивая комплексную и мощную защиту пользовательской информации.

Чтобы повысить надежность паролей, пользователи могут воспользоваться следующими простыми советами: используйте программное обеспечение сетевой безопасности для управления паролями; Используйте разные пароли для разных сервисов. Таким образом, даже если один из ваших аккаунтов будет взломан, остальные останутся в безопасности; Парольная фраза помогает пользователям восстанавливать свои учетные записи, если они забывают пароли. Безопаснее использовать менее распространённые слова. Кроме того, они могут воспользоваться онлайн-сервисом для проверки надежности своего пароля.

Не используйте в качестве пароля личную информацию, например дни рождения, имена членов семьи, клички домашних животных или прозвища. Зачастую это первые варианты, которые злоумышленник попробует использовать при взломе пароля.