Varování před phishingovými útoky s cílem obejít dvoufaktorové ověřování

Nové formy phishingových útoků na vzestupu

Dvoufaktorové ověřování se stalo standardním bezpečnostním prvkem v kybernetické bezpečnosti. Vyžaduje, aby uživatelé ověřili svou identitu druhým krokem ověřování, obvykle jednorázovým heslem (OTP) zaslaným prostřednictvím textové zprávy, e-mailu nebo ověřovací aplikace.

Tato dodatečná vrstva zabezpečení má chránit uživatelské účty i v případě, že jim dojde k odcizení hesel. Podvodníci však používají sofistikované metody, jak uživatele obelstít a přimět je k odhalení těchto jednorázových hesel, což jim umožňuje obejít ochranu 2FA prostřednictvím OTP botů.

OTP Bot je sofistikovaný nástroj, který podvodníci používají k zachycení OTP kódů prostřednictvím útoků sociálního inženýrství. Útočníci se často snaží ukrást přihlašovací údaje obětí metodami, jako je phishing nebo zneužívání zranitelností dat ke krádeži informací.

Poté se přihlásí k účtu oběti, čímž spustí odeslání OTP kódu na její telefon. Bot OTP poté oběti automaticky zavolá, vydává se za zaměstnance důvěryhodné organizace a pomocí předem naprogramovaného konverzačního scénáře ji přesvědčí k prozrazení OTP kódu. Nakonec útočník prostřednictvím bota OTP kód obdrží a použije ho k nelegálnímu přístupu k účtu oběti.

Podvodníci dávají přednost hlasovým hovorům před textovými zprávami, protože oběti na tuto metodu obvykle reagují rychleji. OTP boti napodobují tón a naléhavost lidského hovoru, aby vytvořili pocit důvěry a přesvědčení.

Aby mohl podvodník použít bota s jednorázovým heslem (OTP), musí nejprve ukrást přihlašovací údaje oběti. Často používají phishingové webové stránky, které jsou navrženy tak, aby vypadaly přesně jako legitimní přihlašovací stránky bank, e-mailových služeb nebo jiných online účtů. Když oběť zadá své uživatelské jméno a heslo, podvodník tyto informace automaticky a okamžitě (v reálném čase) shromažďuje.

Podle statistik společnosti Kaspersky zabránila jejich bezpečnostní řešení od 1. března do 31. května 2024 653 088 návštěvám webových stránek vytvořených phishingovými nástroji zaměřenými na banky.

Data ukradená z těchto stránek se často používají při útocích s OTP boty. Během stejného období firma zabývající se kybernetickou bezpečností také detekovala 4 721 phishingových stránek vytvořených sadami nástrojů, které byly navrženy tak, aby v reálném čase obcházely dvoufaktorové ověřování.

Řešení

Ačkoli je 2FA důležitým bezpečnostním opatřením, není všelékem. Aby se uživatelé před těmito sofistikovanými podvody chránili, odborníci na kybernetickou bezpečnost doporučují:

- Neklikejte na odkazy v podezřelých e-mailových zprávách. Pokud se potřebujete přihlásit ke svému účtu u jakékoli organizace, zadejte přesnou adresu webových stránek nebo použijte záložku.

- Ujistěte se, že je adresa webové stránky správná a neobsahuje překlepy. Informace o registraci webové stránky můžete zkontrolovat pomocí nástroje Whois. Pokud byla webová stránka zaregistrována nedávno, pravděpodobně se jedná o podvodný web.

- Nikdy nesdělujte OTP kódy po telefonu, bez ohledu na to, jak přesvědčivě se volající zdá. Banky a další renomované organizace nikdy nepožadují od uživatelů, aby si přes telefon přečetli nebo zadali OTP kódy za účelem ověření jejich totožnosti.