Varování před phishingovými útoky zaměřenými na obejití dvoufaktorového ověřování.

Nárůst nových forem phishingových útoků.

Dvoufaktorové ověřování se stalo standardním bezpečnostním prvkem v kybernetické bezpečnosti. Tato forma ověřování vyžaduje, aby uživatelé ověřili svou identitu druhým krokem ověřování, obvykle jednorázovým heslem (OTP) zaslaným prostřednictvím textové zprávy, e-mailu nebo ověřovací aplikace.

Tato dodatečná vrstva zabezpečení má chránit uživatelské účty i v případě, že jim dojde k odcizení hesel. Podvodníci však používají sofistikované metody, jak uživatele obelstít a přimět je k odhalení těchto jednorázových hesel, což jim umožňuje obejít ochranu 2FA prostřednictvím OTP botů.

Bot OTP je sofistikovaný nástroj, který podvodníci používají k zachycení OTP kódů prostřednictvím netechnických útoků. Útočníci se obvykle pokoušejí ukrást přihlašovací údaje obětí pomocí metod, jako je phishing nebo zneužívání zranitelností dat ke krádeži informací.

Poté se přihlásí k účtu oběti a spustí odeslání OTP kódu na její telefon. Bot OTP poté oběti automaticky zavolá, vydává se za zaměstnance důvěryhodné organizace a pomocí předem naprogramovaného konverzačního scénáře ji přesvědčí k prozrazení OTP kódu. Nakonec útočník prostřednictvím bota OTP kód obdrží a použije ho k získání neoprávněného přístupu k účtu oběti.

Podvodníci dávají přednost hlasovým hovorům před textovými zprávami, protože oběti obvykle reagují rychleji. Jednorázoví hesla proto napodobují tón a naléhavost lidského hlasového hovoru, aby vytvořili dojem důvěryhodnosti a přesvědčivosti.

Aby mohli podvodníci používat OTP boty, musí nejprve ukrást přihlašovací údaje oběti. Často používají phishingové webové stránky navržené tak, aby vypadaly přesně jako legitimní přihlašovací stránky do bank, e-mailových služeb nebo jiných online účtů. Když oběť zadá své uživatelské jméno a heslo, podvodník tyto informace automaticky okamžitě (v reálném čase) shromažďuje.

Podle statistik společnosti Kaspersky zablokovala její bezpečnostní řešení od 1. března do 31. května 2024 653 088 pokusů o přístup k webovým stránkám vytvořeným phishingovými nástroji zaměřenými na banky.

Data ukradená z těchto webových stránek se často používají při útocích s OTP boty. Přibližně ve stejnou dobu společnost zabývající se kybernetickou bezpečností také detekovala 4 721 phishingových webových stránek vytvořených pomocí sad nástrojů určených k obcházení dvoufaktorového ověřování v reálném čase.

Řešení

Ačkoli je 2FA důležitým bezpečnostním opatřením, není to konečné řešení. Aby se uživatelé před těmito sofistikovanými podvody chránili, odborníci na kybernetickou bezpečnost doporučují:

- Neklikejte na odkazy v podezřelých e-mailových zprávách. Pokud se uživatelé potřebují přihlásit ke svému účtu v jakékoli organizaci, měli by zadat přesnou webovou adresu nebo použít uloženou záložku.

- Ujistěte se, že je adresa webových stránek správná a bez překlepů. Registrační informace webových stránek můžete zkontrolovat pomocí nástroje Whois. Pokud byly webové stránky zaregistrovány nedávno, je vysoce pravděpodobné, že se jedná o podvodné webové stránky.

- Nikdy nesdělujte svůj OTP kód po telefonu, bez ohledu na to, jak přesvědčivě se volající může zdát. Renomované banky a další organizace nikdy nepožadují od uživatelů, aby si po telefonu přečetli nebo zadali OTP kódy za účelem ověření jejich totožnosti.