Предупреждение о фишинговых атаках с целью обхода двухфакторной аутентификации

Двухфакторная аутентификация (2FA) больше не является надёжным решением безопасности. Иллюстрация.

Новая форма атаки

Двухфакторная аутентификация (2FA) стала стандартной функцией безопасности в кибербезопасности. Она требует от пользователей подтверждения личности с помощью второго этапа аутентификации, обычно с помощью одноразового пароля (OTP), отправляемого в SMS-сообщении, по электронной почте или через приложение для аутентификации. Этот дополнительный уровень безопасности предназначен для защиты учётной записи пользователя даже в случае кражи пароля.

Несмотря на то, что 2FA широко используется многими веб-сайтами и требуется организациями, недавно эксперты по кибербезопасности «Лаборатории Касперского» обнаружили фишинговые атаки, используемые киберпреступниками для обхода 2FA.

Соответственно, киберпреступники перешли на более изощрённый вид кибератак, комбинируя фишинг с автоматическими ботами OTP, чтобы обмануть пользователей и получить несанкционированный доступ к их учётным записям. В частности, мошенники обманным путём заставляют пользователей раскрывать эти OTP, чтобы обойти меры защиты 2FA.

Киберпреступники совмещают фишинг с автоматическими одноразовыми паролями, чтобы обмануть пользователей и получить несанкционированный доступ к их аккаунтам. Иллюстрация.

Даже OTP-боты, сложный инструмент, используются мошенниками для перехвата одноразовых паролей (OTP) с помощью атак социальной инженерии. Злоумышленники часто пытаются украсть учётные данные жертв, используя такие методы, как фишинг или эксплуатируя уязвимости данных. Затем они входят в учётную запись жертвы, инициируя отправку OTP-кодов на её телефон.

Затем OTP-бот автоматически звонит жертве, выдавая себя за сотрудника доверенной организации, используя заранее запрограммированный сценарий разговора, чтобы убедить жертву раскрыть OTP-код. Затем злоумышленник получает OTP-код через бота и использует его для несанкционированного доступа к аккаунту жертвы.

Мошенники часто предпочитают голосовые звонки текстовым сообщениям, поскольку жертвы, как правило, быстрее реагируют на них. Поэтому OTP-боты имитируют тон и срочность человеческого звонка, чтобы создать атмосферу доверия и убедительности.

Мошенники управляют одноразовыми ботами через специальные онлайн-панели управления или платформы обмена сообщениями, такие как Telegram. Эти боты также предлагают разнообразные функции и тарифные планы, позволяющие злоумышленникам действовать. Злоумышленники могут настраивать функции бота, чтобы выдавать себя за организации, использовать несколько языков и даже выбирать мужской или женский голос. Расширенные возможности включают подмену номера телефона, которая позволяет выдавать номер телефона звонящего за номер настоящей организации, чтобы обмануть жертву изощрённым способом.

Чем больше развиваются технологии, тем выше требования к защите аккаунтов. Иллюстрация.

Чтобы использовать OTP-бот, мошеннику необходимо сначала украсть учётные данные жертвы. Они часто используют фишинговые сайты, которые выглядят как настоящие страницы входа в банковские аккаунты, почтовые сервисы или другие онлайн-аккаунты. Когда жертва вводит своё имя пользователя и пароль, мошенник автоматически и мгновенно (в режиме реального времени) собирает эту информацию.

С 1 марта по 31 мая 2024 года защитные решения «Лаборатории Касперского» предотвратили 653 088 попыток посещения веб-сайтов, созданных фишинговыми наборами, нацеленными на банки. Данные, украденные с этих сайтов, часто используются для атак с использованием одноразовых паролей (OTP-ботов). За тот же период эксперты выявили 4721 фишинговый сайт, созданный наборами для обхода двухфакторной аутентификации в режиме реального времени.

Не создавайте общие пароли

Ольга Свистунова, эксперт по безопасности «Лаборатории Касперского», отметила: «Атаки с использованием социальной инженерии считаются крайне изощрёнными методами мошенничества, особенно с появлением OTP-ботов, способных легально имитировать звонки от представителей сервисов. Чтобы сохранять бдительность, важно сохранять осторожность и соблюдать меры безопасности».

Хакеры просто используют интеллектуальные алгоритмы предсказания, чтобы легко подобрать пароли. Иллюстрация.

Поскольку анализ 193 миллионов паролей, проведённый экспертами «Лаборатории Касперского» с использованием интеллектуальных алгоритмов подбора в начале июня, показал, что эти пароли также были скомпрометированы и проданы в даркнете похитителями информации, 45% (что эквивалентно 87 миллионам паролей) могут быть успешно взломаны в течение минуты; только 23% (что эквивалентно 44 миллионам) комбинаций паролей считаются достаточно надёжными для защиты от атак, и их взлом займёт более года. Однако большинство оставшихся паролей всё ещё можно взломать за время от 1 часа до 1 месяца.

Кроме того, эксперты по кибербезопасности также раскрыли наиболее часто используемые комбинации символов при создании пользователями паролей, например: Имя: «ahmed», «nguyen», «kumar», «kevin», «daniel»; популярные слова: «forever», «love», «google», «hacker», «gamer»; стандартные пароли: «password», «qwerty12345», «admin», «12345», «team».

Анализ показал, что только 19% паролей содержали комбинацию надёжного пароля, включающую несловарные слова, буквы как верхнего, так и нижнего регистра, а также цифры и символы. В то же время исследование также показало, что 39% этих надёжных паролей всё равно могли быть угаданы интеллектуальными алгоритмами менее чем за час.

Примечательно, что для взлома паролей злоумышленникам не нужны специальные знания или сложное оборудование. Например, специализированный процессор ноутбука может точно подобрать комбинацию из восьми строчных букв или цифр всего за семь минут. Интегрированная видеокарта сделает то же самое за 17 секунд. Кроме того, интеллектуальные алгоритмы подбора паролей склонны заменять символы («e» вместо «3», «1» вместо «!» или «a» вместо «@») и распространённые строки («qwerty», «12345», «asdfg»).

Используйте пароли со случайными последовательностями символов, чтобы хакерам было сложнее их угадать. Иллюстрация.

«Бессознательно люди склонны создавать очень простые пароли, часто используя слова из родного языка, например, имена и цифры... Даже надежные комбинации паролей редко отклоняются от этой тенденции, поэтому они полностью предсказуемы алгоритмами», — отметила Юлия Новикова, руководитель отдела анализа цифровых следов в «Лаборатории Касперского».

Поэтому наиболее надёжным решением является генерация полностью случайного пароля с помощью современных и надёжных менеджеров паролей. Такие приложения способны безопасно хранить большие объёмы данных, обеспечивая комплексную и надёжную защиту пользовательской информации.

Для повышения надёжности паролей пользователи могут воспользоваться следующими простыми советами: используйте программы для управления паролями; используйте разные пароли для разных сервисов. Таким образом, даже если один из ваших аккаунтов будет взломан, остальные останутся в безопасности; парольные фразы помогают пользователям восстановить аккаунты, если они забыли пароль; безопаснее использовать менее распространённые слова. Кроме того, можно воспользоваться онлайн-сервисом для проверки надёжности паролей.

Не используйте в качестве паролей личную информацию, например, дни рождения, имена членов семьи, домашних животных или прозвища. Это часто первое, что пытаются сделать злоумышленники, пытаясь взломать пароль.