Προειδοποίηση για επιθέσεις ηλεκτρονικού "ψαρέματος" (phishing) που παρακάμπτουν τον έλεγχο ταυτότητας 2 παραγόντων

Νέες μορφές επιθέσεων ηλεκτρονικού "ψαρέματος" (phishing) σε άνοδο

Ο έλεγχος ταυτότητας δύο παραγόντων έχει γίνει ένα τυπικό χαρακτηριστικό ασφαλείας στην κυβερνοασφάλεια. Απαιτεί από τους χρήστες να επαληθεύσουν την ταυτότητά τους με ένα δεύτερο βήμα ελέγχου ταυτότητας, συνήθως έναν κωδικό πρόσβασης μίας χρήσης (OTP) που αποστέλλεται μέσω μηνύματος κειμένου, email ή εφαρμογής ελέγχου ταυτότητας.

Αυτό το επιπλέον επίπεδο ασφάλειας έχει ως στόχο να προστατεύει τους λογαριασμούς των χρηστών, ακόμη και αν κλαπούν οι κωδικοί πρόσβασής τους. Ωστόσο, οι απατεώνες έχουν χρησιμοποιήσει εξελιγμένες μεθόδους για να ξεγελάσουν τους χρήστες ώστε να αποκαλύψουν αυτούς τους κωδικούς OTP, επιτρέποντάς τους να παρακάμψουν τις προστασίες 2FA, μέσω bots OTP.

Το OTP Bot είναι ένα εξελιγμένο εργαλείο που χρησιμοποιείται από απατεώνες για την υποκλοπή κωδικών OTP μέσω επιθέσεων κοινωνικής μηχανικής. Οι εισβολείς συχνά προσπαθούν να κλέψουν τα διαπιστευτήρια σύνδεσης των θυμάτων μέσω μεθόδων όπως το ηλεκτρονικό ψάρεμα (phishing) ή η εκμετάλλευση ευπαθειών δεδομένων για την κλοπή πληροφοριών.

Στη συνέχεια, συνδέονται στον λογαριασμό του θύματος, ενεργοποιώντας την αποστολή του κωδικού OTP στο τηλέφωνο του θύματος. Στη συνέχεια, το bot OTP καλεί αυτόματα το θύμα, παριστάνοντας τον υπάλληλο ενός αξιόπιστου οργανισμού, χρησιμοποιώντας ένα προγραμματισμένο σενάριο συνομιλίας για να πείσει το θύμα να αποκαλύψει τον κωδικό OTP. Τέλος, ο εισβολέας λαμβάνει τον κωδικό OTP μέσω του bot και τον χρησιμοποιεί για να αποκτήσει παράνομη πρόσβαση στον λογαριασμό του θύματος.

Οι απατεώνες προτιμούν τις φωνητικές κλήσεις από τα μηνύματα κειμένου, επειδή τα θύματα τείνουν να ανταποκρίνονται πιο γρήγορα σε αυτήν τη μέθοδο. Τα bots OTP μιμούνται τον τόνο και τον επείγοντα χαρακτήρα μιας ανθρώπινης κλήσης για να δημιουργήσουν ένα αίσθημα εμπιστοσύνης και πειθούς.

Για να χρησιμοποιήσει ένα bot OTP, ο απατεώνας πρέπει πρώτα να κλέψει τα διαπιστευτήρια σύνδεσης του θύματος. Συχνά χρησιμοποιούν ιστότοπους ηλεκτρονικού "ψαρέματος" (phishing) που έχουν σχεδιαστεί ώστε να μοιάζουν ακριβώς με τις νόμιμες σελίδες σύνδεσης τραπεζών, υπηρεσιών email ή άλλων ηλεκτρονικών λογαριασμών. Όταν το θύμα εισάγει το όνομα χρήστη και τον κωδικό πρόσβασής του, ο απατεώνας συλλέγει αυτόματα αυτές τις πληροφορίες αμέσως (σε πραγματικό χρόνο).

Σύμφωνα με τα στατιστικά στοιχεία της Kaspersky, από την 1η Μαρτίου έως τις 31 Μαΐου 2024, οι λύσεις ασφαλείας τους απέτρεψαν 653.088 επισκέψεις σε ιστότοπους που δημιουργήθηκαν από εργαλεία ηλεκτρονικού "ψαρέματος" (phishing) που στοχεύουν τράπεζες.

Τα δεδομένα που κλέβονται από αυτούς τους ιστότοπους χρησιμοποιούνται συχνά σε επιθέσεις OTP bot. Κατά την ίδια περίοδο, η εταιρεία κυβερνοασφάλειας εντόπισε επίσης 4.721 ιστότοπους ηλεκτρονικού "ψαρέματος" (phishing) που δημιουργήθηκαν από εργαλεία που είχαν σχεδιαστεί για να παρακάμπτουν τον έλεγχο ταυτότητας δύο παραγόντων σε πραγματικό χρόνο.

Διάλυμα

Ενώ το 2FA είναι ένα σημαντικό μέτρο ασφαλείας, δεν αποτελεί πανάκεια. Για την προστασία των χρηστών από αυτές τις εξελιγμένες απάτες, οι ειδικοί στον κυβερνοχώρο συνιστούν:

- Αποφύγετε να κάνετε κλικ σε συνδέσμους σε ύποπτα μηνύματα email. Εάν χρειάζεται να συνδεθείτε στον λογαριασμό σας σε οποιονδήποτε οργανισμό, πληκτρολογήστε την ακριβή διεύθυνση του ιστότοπου ή χρησιμοποιήστε έναν σελιδοδείκτη.

- Βεβαιωθείτε ότι η διεύθυνση του ιστότοπου είναι σωστή και δεν έχει τυπογραφικά λάθη. Μπορείτε να χρησιμοποιήσετε το εργαλείο Whois για να ελέγξετε τα στοιχεία εγγραφής του ιστότοπου. Εάν ο ιστότοπος έχει εγγραφεί πρόσφατα, πιθανότατα πρόκειται για ιστότοπο με απάτη.

- Ποτέ μην παρέχετε κωδικούς OTP μέσω τηλεφώνου, όσο πειστικός κι αν φαίνεται ο καλών. Οι τράπεζες και άλλοι αξιόπιστοι οργανισμοί δεν ζητούν ποτέ από τους χρήστες να διαβάσουν ή να εισάγουν κωδικούς OTP μέσω τηλεφώνου για να επαληθεύσουν την ταυτότητά τους.