Προειδοποίηση για επιθέσεις ηλεκτρονικού "ψαρέματος" (phishing) που παρακάμπτουν τον έλεγχο ταυτότητας δύο παραγόντων

Ο έλεγχος ταυτότητας δύο παραγόντων (2FA) δεν αποτελεί πλέον αλάνθαστη ασφάλεια. Εικόνα εικόνας

Νέα μορφή επίθεσης

Ο έλεγχος ταυτότητας δύο παραγόντων (2FA) έχει γίνει ένα τυπικό χαρακτηριστικό ασφαλείας στην κυβερνοασφάλεια. Απαιτεί από τους χρήστες να επαληθεύσουν την ταυτότητά τους με ένα δεύτερο βήμα ελέγχου ταυτότητας, συνήθως έναν κωδικό πρόσβασης μίας χρήσης (OTP) που αποστέλλεται μέσω μηνύματος κειμένου, email ή εφαρμογής ελέγχου ταυτότητας. Αυτό το πρόσθετο επίπεδο ασφάλειας έχει σκοπό να προστατεύσει τον λογαριασμό ενός χρήστη, ακόμη και αν κλαπεί ο κωδικός πρόσβασής του.

Παρόλο που το 2FA υιοθετείται ευρέως από πολλούς ιστότοπους και απαιτείται από οργανισμούς, πρόσφατα, οι ειδικοί στον κυβερνοασφάλεια της Kaspersky ανακάλυψαν επιθέσεις ηλεκτρονικού "ψαρέματος" (phishing) που χρησιμοποιούνται από κυβερνοεγκληματίες για να παρακάμψουν το 2FA.

Συνεπώς, οι κυβερνοεπιτιθέμενοι έχουν στραφεί σε μια πιο εξελιγμένη μορφή κυβερνοεπίθεσης, συνδυάζοντας το ηλεκτρονικό ψάρεμα (phishing) με αυτοματοποιημένα bots OTP για να εξαπατήσουν τους χρήστες και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στους λογαριασμούς τους. Συγκεκριμένα, οι απατεώνες ξεγελούν τους χρήστες ώστε να αποκαλύψουν αυτούς τους κωδικούς OTP για να τους επιτρέψουν να παρακάμψουν τα μέτρα προστασίας 2FA.

Οι κυβερνοεγκληματίες συνδυάζουν το ηλεκτρονικό ψάρεμα (phishing) με αυτοματοποιημένα bots OTP για να εξαπατήσουν τους χρήστες και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στους λογαριασμούς τους. Εικόνα φωτογραφίας

Ακόμη και τα bots OTP, ένα εξελιγμένο εργαλείο, χρησιμοποιούνται από απατεώνες για την υποκλοπή κωδικών OTP μέσω επιθέσεων κοινωνικής μηχανικής. Οι εισβολείς συχνά προσπαθούν να κλέψουν τα διαπιστευτήρια σύνδεσης των θυμάτων μέσω μεθόδων όπως το ηλεκτρονικό ψάρεμα (phishing) ή η εκμετάλλευση ευπαθειών δεδομένων. Στη συνέχεια, συνδέονται στον λογαριασμό του θύματος, ενεργοποιώντας την αποστολή κωδικών OTP στο τηλέφωνο του θύματος.

Στη συνέχεια, το bot OTP θα καλέσει αυτόματα το θύμα, παριστάνοντας τον υπάλληλο ενός αξιόπιστου οργανισμού, χρησιμοποιώντας ένα προγραμματισμένο σενάριο συνομιλίας για να πείσει το θύμα να αποκαλύψει τον κωδικό OTP. Τέλος, ο εισβολέας λαμβάνει τον κωδικό OTP μέσω του bot και τον χρησιμοποιεί για να αποκτήσει παράνομη πρόσβαση στον λογαριασμό του θύματος.

Οι απατεώνες συχνά προτιμούν τις φωνητικές κλήσεις από τα μηνύματα κειμένου, επειδή τα θύματα τείνουν να ανταποκρίνονται πιο γρήγορα σε αυτήν τη μέθοδο. Συνεπώς, τα bots OTP θα προσομοιώνουν τον τόνο και τον επείγοντα χαρακτήρα μιας ανθρώπινης κλήσης για να δημιουργήσουν ένα αίσθημα εμπιστοσύνης και πειθούς.

Οι απατεώνες ελέγχουν τα bots OTP μέσω ειδικών διαδικτυακών πινάκων ελέγχου ή πλατφορμών ανταλλαγής μηνυμάτων όπως το Telegram. Αυτά τα bots διαθέτουν επίσης διάφορες λειτουργίες και προγράμματα συνδρομής, διευκολύνοντας τους εισβολείς να ενεργήσουν. Οι εισβολείς μπορούν να προσαρμόσουν τις λειτουργίες του bot για να μιμούνται οργανισμούς, να χρησιμοποιούν πολλαπλές γλώσσες, ακόμη και να επιλέξουν ανδρικό ή γυναικείο τόνο φωνής. Οι προηγμένες επιλογές περιλαμβάνουν την πλαστογράφηση αριθμού τηλεφώνου, η οποία κάνει τον αριθμό τηλεφώνου του καλούντος να φαίνεται ότι προέρχεται από έναν νόμιμο οργανισμό, προκειμένου να εξαπατήσουν το θύμα με έναν περίπλοκο τρόπο.

Όσο περισσότερο εξελίσσεται η τεχνολογία, τόσο υψηλότερη είναι η απαίτηση για προστασία λογαριασμού. Εικόνα εικόνας

Για να χρησιμοποιήσει ένα bot OTP, ο απατεώνας πρέπει πρώτα να κλέψει τα διαπιστευτήρια σύνδεσης του θύματος. Συχνά χρησιμοποιούν ιστότοπους ηλεκτρονικού "ψαρέματος" (phishing) που έχουν σχεδιαστεί ώστε να μοιάζουν ακριβώς με νόμιμες σελίδες σύνδεσης για τράπεζες, υπηρεσίες email ή άλλους διαδικτυακούς λογαριασμούς. Όταν το θύμα εισάγει το όνομα χρήστη και τον κωδικό πρόσβασής του, ο απατεώνας συλλέγει αυτόματα αυτές τις πληροφορίες αμέσως (σε πραγματικό χρόνο).

Μεταξύ 1ης Μαρτίου και 31ης Μαΐου 2024, οι λύσεις ασφαλείας της Kaspersky απέτρεψαν 653.088 επισκέψεις σε ιστότοπους που δημιουργήθηκαν από κιτ ηλεκτρονικού "ψαρέματος" (phishing) που στόχευαν τράπεζες. Τα δεδομένα που κλέβονται από αυτούς τους ιστότοπους χρησιμοποιούνται συχνά σε επιθέσεις bot OTP. Κατά την ίδια περίοδο, οι ειδικοί εντόπισαν 4.721 ιστότοπους ηλεκτρονικού "ψαρέματος" (phishing) που δημιουργήθηκαν από τα κιτ για να παρακάμψουν τον έλεγχο ταυτότητας δύο παραγόντων σε πραγματικό χρόνο.

Μην δημιουργείτε κοινούς κωδικούς πρόσβασης.

Η Όλγα Σβιστούνοβα, ειδικός ασφαλείας στην Kaspersky, σχολίασε: «Οι επιθέσεις κοινωνικής μηχανικής θεωρούνται εξαιρετικά εξελιγμένες μέθοδοι απάτης, ειδικά με την εμφάνιση των bots OTP με την ικανότητα να προσομοιώνουν νόμιμα κλήσεις από εκπροσώπους υπηρεσιών. Για να παραμένετε σε εγρήγορση, είναι σημαντικό να διατηρείτε την επαγρύπνηση και να συμμορφώνεστε με τα μέτρα ασφαλείας».

Οι χάκερ απλώς χρειάζεται να χρησιμοποιούν έξυπνους αλγόριθμους πρόβλεψης για να βρίσκουν εύκολα τους κωδικούς πρόσβασης. Εικόνα φωτογραφίας

Επειδή στην ανάλυση 193 εκατομμυρίων κωδικών πρόσβασης που διεξήχθη από ειδικούς της Kaspersky χρησιμοποιώντας αλγόριθμους έξυπνης εικασίας στις αρχές Ιουνίου, αυτοί είναι επίσης κωδικοί πρόσβασης που έχουν παραβιαστεί και πωληθεί στο darknet από κλέφτες πληροφοριών, φαίνεται ότι το 45% (ισοδύναμο με 87 εκατομμύρια κωδικούς πρόσβασης) μπορεί να παραβιαστεί με επιτυχία μέσα σε ένα λεπτό. Μόνο το 23% (ισοδύναμο με 44 εκατομμύρια) των συνδυασμών κωδικών πρόσβασης θεωρούνται αρκετά ισχυροί για να αντισταθούν σε επιθέσεις και η παραβίαση αυτών των κωδικών πρόσβασης θα διαρκέσει περισσότερο από ένα χρόνο. Ωστόσο, οι περισσότεροι από τους υπόλοιπους κωδικούς πρόσβασης μπορούν να παραβιαστούν από 1 ώρα έως 1 μήνα.

Επιπλέον, οι ειδικοί στον κυβερνοχώρο αποκάλυψαν επίσης τους πιο συχνά χρησιμοποιούμενους συνδυασμούς χαρακτήρων όταν οι χρήστες ορίζουν κωδικούς πρόσβασης, όπως: Όνομα: "ahmed", "nguyen", "kumar", "kevin", "daniel"· δημοφιλείς λέξεις: "forever", "love", "google", "hacker", "gamer"· τυπικοί κωδικοί πρόσβασης: "password", "qwerty12345", "admin", "12345", "team".

Η ανάλυση διαπίστωσε ότι μόνο το 19% των κωδικών πρόσβασης περιείχε έναν ισχυρό συνδυασμό κωδικών πρόσβασης, συμπεριλαμβανομένης μιας λέξης που δεν περιλαμβάνεται στο λεξικό, τόσο κεφαλαία όσο και πεζά γράμματα, καθώς και αριθμούς και σύμβολα. Ταυτόχρονα, η μελέτη διαπίστωσε επίσης ότι το 39% αυτών των ισχυρών κωδικών πρόσβασης μπορούσε ακόμα να μαντευτεί από έξυπνους αλγόριθμους σε λιγότερο από μία ώρα.

Είναι ενδιαφέρον ότι οι εισβολείς δεν χρειάζονται εξειδικευμένες γνώσεις ή προηγμένο εξοπλισμό για να παραβιάσουν κωδικούς πρόσβασης. Για παράδειγμα, ένας ειδικός επεξεργαστής φορητού υπολογιστή μπορεί να εκτελέσει με ακρίβεια έναν συνδυασμό κωδικού πρόσβασης οκτώ πεζών γραμμάτων ή αριθμών σε μόλις 7 λεπτά. Μια ενσωματωμένη κάρτα γραφικών μπορεί να κάνει το ίδιο σε 17 δευτερόλεπτα. Επιπλέον, οι έξυπνοι αλγόριθμοι εικασίας κωδικών πρόσβασης τείνουν να αντικαθιστούν τους χαρακτήρες ("e" αντί για "3", "1" αντί για "!" ή "a" αντί για "@") και τις κοινές συμβολοσειρές ("qwerty", "12345", "asdfg").

Θα πρέπει να χρησιμοποιείτε κωδικούς πρόσβασης με τυχαίες συμβολοσειρές χαρακτήρων για να μην είναι εύκολο να τους μαντέψουν οι χάκερ. Εικόνα φωτογραφίας.

«Ασυνείδητα, οι άνθρωποι τείνουν να επιλέγουν πολύ απλούς κωδικούς πρόσβασης, συχνά χρησιμοποιώντας λέξεις από το λεξικό στη μητρική τους γλώσσα, όπως ονόματα και αριθμούς... Ακόμη και οι ισχυροί συνδυασμοί κωδικών πρόσβασης σπάνια αποκλίνουν από αυτήν την τάση, επομένως είναι απολύτως προβλέψιμοι από αλγόριθμους», δήλωσε η Yuliya Novikova, Επικεφαλής Ψηφιακής Νοημοσύνης Αποτυπώματος στην Kaspersky.

Επομένως, η πιο αξιόπιστη λύση είναι η δημιουργία ενός εντελώς τυχαίου κωδικού πρόσβασης χρησιμοποιώντας σύγχρονα και αξιόπιστα προγράμματα διαχείρισης κωδικών πρόσβασης. Τέτοιες εφαρμογές μπορούν να αποθηκεύουν μεγάλες ποσότητες δεδομένων με ασφάλεια, παρέχοντας ολοκληρωμένη και ισχυρή προστασία για τις πληροφορίες των χρηστών.

Για να αυξήσουν την ισχύ των κωδικών πρόσβασης, οι χρήστες μπορούν να εφαρμόσουν τις ακόλουθες απλές συμβουλές: Χρησιμοποιήστε λογισμικό ασφάλειας δικτύου για τη διαχείριση των κωδικών πρόσβασης. Χρησιμοποιήστε διαφορετικούς κωδικούς πρόσβασης για διαφορετικές υπηρεσίες. Με αυτόν τον τρόπο, ακόμη και αν ένας από τους λογαριασμούς σας παραβιαστεί, οι άλλοι εξακολουθούν να είναι ασφαλείς. Οι φράσεις πρόσβασης βοηθούν τους χρήστες να ανακτήσουν λογαριασμούς όταν ξεχάσουν τους κωδικούς πρόσβασής τους. Είναι ασφαλέστερο να χρησιμοποιούν λιγότερο συνηθισμένες λέξεις. Επιπλέον, μπορούν να χρησιμοποιήσουν μια ηλεκτρονική υπηρεσία για να ελέγξουν την ισχύ των κωδικών πρόσβασής τους.

Αποφύγετε τη χρήση προσωπικών πληροφοριών, όπως γενέθλια, ονόματα μελών της οικογένειας, ονόματα κατοικίδιων ζώων ή ψευδώνυμα, ως κωδικούς πρόσβασης. Αυτά είναι συχνά τα πρώτα πράγματα που θα δοκιμάσουν οι εισβολείς όταν προσπαθούν να παραβιάσουν έναν κωδικό πρόσβασης.