احراز هویت دو مرحلهای (2FA) دیگر امنیت کاملی ندارد. عکس نمایشی
شکل جدید حمله
احراز هویت دو مرحلهای (2FA) به یک ویژگی امنیتی استاندارد در امنیت سایبری تبدیل شده است. این ویژگی از کاربران میخواهد که هویت خود را با یک مرحله احراز هویت دوم، معمولاً یک رمز عبور یکبار مصرف (OTP) که از طریق پیامک، ایمیل یا برنامه احراز هویت ارسال میشود، تأیید کنند. این لایه امنیتی اضافی برای محافظت از حساب کاربر حتی در صورت سرقت رمز عبور آنها در نظر گرفته شده است.
اگرچه احراز هویت دو مرحلهای (2FA) به طور گسترده توسط بسیاری از وبسایتها پذیرفته شده و توسط سازمانها الزامی است، اما اخیراً، کارشناسان امنیت سایبری کسپرسکی حملات فیشینگ مورد استفاده مجرمان سایبری برای دور زدن احراز هویت دو مرحلهای را کشف کردهاند.
بر این اساس، مهاجمان سایبری به شکل پیچیدهتری از حمله سایبری روی آوردهاند که با ترکیب فیشینگ با رباتهای خودکار OTP، کاربران را فریب داده و به حسابهای آنها دسترسی غیرمجاز پیدا میکنند. به طور خاص، کلاهبرداران کاربران را فریب میدهند تا این OTPها را فاش کنند تا به آنها اجازه دهند از اقدامات حفاظتی 2FA عبور کنند.
مجرمان سایبری فیشینگ را با رباتهای خودکار OTP ترکیب میکنند تا کاربران را فریب دهند و به حسابهای آنها دسترسی غیرمجاز پیدا کنند. عکس نمایشی
حتی رباتهای OTP، ابزاری پیچیده، توسط کلاهبرداران برای رهگیری کدهای OTP از طریق حملات مهندسی اجتماعی استفاده میشوند. مهاجمان اغلب سعی میکنند از طریق روشهایی مانند فیشینگ یا سوءاستفاده از آسیبپذیریهای دادهها، اعتبارنامههای ورود قربانیان را بدزدند. سپس وارد حساب قربانی میشوند و کدهای OTP را به تلفن قربانی ارسال میکنند.
در مرحله بعد، ربات OTP به طور خودکار با قربانی تماس میگیرد و خود را به عنوان کارمند یک سازمان مورد اعتماد جا میزند و با استفاده از یک اسکریپت مکالمه از پیش برنامهریزی شده، قربانی را متقاعد میکند که کد OTP را فاش کند. در نهایت، مهاجم کد OTP را از طریق ربات دریافت کرده و از آن برای دسترسی غیرقانونی به حساب قربانی استفاده میکند.
کلاهبرداران اغلب تماسهای صوتی را به پیامک ترجیح میدهند، زیرا قربانیان تمایل دارند سریعتر به این روش پاسخ دهند. بر این اساس، رباتهای OTP لحن و فوریت تماس انسانی را شبیهسازی میکنند تا حس اعتماد و ترغیب ایجاد کنند.
کلاهبرداران، رباتهای OTP را از طریق داشبوردهای آنلاین اختصاصی یا پلتفرمهای پیامرسان مانند تلگرام کنترل میکنند. این رباتها همچنین دارای ویژگیها و طرحهای اشتراک متنوعی هستند که کار را برای مهاجمان آسانتر میکند. مهاجمان میتوانند ویژگیهای ربات را برای جعل هویت سازمانها، استفاده از چندین زبان و حتی انتخاب لحن صدای مرد یا زن سفارشی کنند. گزینههای پیشرفته شامل جعل شماره تلفن است که باعث میشود شماره تلفن تماسگیرنده از یک سازمان قانونی به نظر برسد تا قربانی را به روشی پیچیده فریب دهد.
هرچه فناوری بیشتر توسعه یابد، الزامات حفاظت از حساب کاربری بیشتر میشود. عکس نمایشی
برای استفاده از ربات OTP، کلاهبردار ابتدا باید اطلاعات ورود قربانی را بدزدد. آنها اغلب از وبسایتهای فیشینگ استفاده میکنند که دقیقاً شبیه صفحات ورود قانونی بانکها، سرویسهای ایمیل یا سایر حسابهای آنلاین طراحی شدهاند. وقتی قربانی نام کاربری و رمز عبور خود را وارد میکند، کلاهبردار بهطور خودکار این اطلاعات را فوراً (در زمان واقعی) جمعآوری میکند.
بین ۱ مارس و ۳۱ مه ۲۰۲۴، راهکارهای امنیتی کسپرسکی از ۶۵۳،۰۸۸ بازدید از وبسایتهای ایجاد شده توسط کیتهای فیشینگ که بانکها را هدف قرار میدادند، جلوگیری کرد. دادههای سرقت شده از این وبسایتها اغلب در حملات رباتهای OTP استفاده میشوند. در همین دوره، کارشناسان ۴۷۲۱ وبسایت فیشینگ ایجاد شده توسط کیتها برای دور زدن احراز هویت دو مرحلهای در زمان واقعی را شناسایی کردند.
رمزهای عبور رایج ایجاد نکنید.
اولگا سویستونوا، متخصص امنیت در کسپرسکی، اظهار داشت: «حملات مهندسی اجتماعی، روشهای کلاهبرداری بسیار پیچیدهای محسوب میشوند، به خصوص با ظهور رباتهای OTP که قابلیت شبیهسازی مشروع تماسهای نمایندگان خدمات را دارند. برای هوشیار ماندن، حفظ هوشیاری و رعایت اقدامات امنیتی مهم است.»
هکرها فقط باید از الگوریتمهای پیشبینی هوشمند استفاده کنند تا رمزهای عبور را به راحتی پیدا کنند. عکس تصویری
از آنجا که در تجزیه و تحلیل ۱۹۳ میلیون رمز عبور که توسط متخصصان کسپرسکی با استفاده از الگوریتمهای حدس هوشمند در اوایل ژوئن انجام شد، این رمزهای عبور نیز توسط سارقان اطلاعات در دارکنت به سرقت رفته و فروخته شدهاند، نشان میدهد که ۴۵٪ (معادل ۸۷ میلیون رمز عبور) را میتوان با موفقیت در عرض یک دقیقه شکست؛ تنها ۲۳٪ (معادل ۴۴ میلیون) از ترکیبات رمز عبور به اندازه کافی قوی در نظر گرفته میشوند تا در برابر حملات مقاومت کنند و شکستن این رمزهای عبور بیش از یک سال طول خواهد کشید. با این حال، اکثر رمزهای عبور باقی مانده هنوز هم میتوانند از ۱ ساعت تا ۱ ماه شکسته شوند.
علاوه بر این، کارشناسان امنیت سایبری رایجترین ترکیبهای کاراکتری مورد استفاده کاربران هنگام تنظیم رمزهای عبور مانند موارد زیر را فاش کردند: نام: "ahmed"، "nguyen"، "kumar"، "kevin"، "daniel"؛ کلمات محبوب: "forever"، "love"، "google"، "hacker"، "gamer"؛ رمزهای عبور استاندارد: "password"، "qwerty12345"، "admin"، "12345"، "team".
این تحلیل نشان داد که تنها ۱۹٪ از رمزهای عبور حاوی ترکیبی قوی از رمزهای عبور، شامل یک کلمه غیرفرهنگی، حروف بزرگ و کوچک، و همچنین اعداد و نمادها بودند. در عین حال، این مطالعه همچنین نشان داد که ۳۹٪ از این رمزهای عبور قوی هنوز هم میتوانند توسط الگوریتمهای هوشمند در کمتر از یک ساعت حدس زده شوند.
جالب اینجاست که مهاجمان برای شکستن رمزهای عبور نیازی به دانش تخصصی یا تجهیزات پیشرفته ندارند. به عنوان مثال، یک پردازنده اختصاصی لپتاپ میتواند با دقت و تنها در 7 دقیقه، ترکیبی از هشت حرف کوچک یا عدد را با استفاده از روش جستجوی فراگیر (brute force) پیدا کند. یک کارت گرافیک یکپارچه میتواند همین کار را در 17 ثانیه انجام دهد. علاوه بر این، الگوریتمهای هوشمند حدس رمز عبور تمایل دارند کاراکترها ("e" را به جای "3"، "1" را به جای "!" یا "a" را به جای "@") و رشتههای رایج ("qwerty"، "12345"، "asdfg") جایگزین کنند.
شما باید از رمزهای عبور با رشتههای کاراکتری تصادفی استفاده کنید تا حدس زدن آن برای هکرها دشوار باشد. عکس نمونه
یولیا نوویکووا، رئیس بخش اطلاعات ردپای دیجیتال در کسپرسکی، گفت: «مردم بهطور ناخودآگاه تمایل دارند رمزهای عبور بسیار سادهای انتخاب کنند که اغلب از کلمات فرهنگ لغت زبان مادریشان، مانند نامها و اعداد، استفاده میکنند... حتی ترکیبهای قوی رمز عبور نیز بهندرت از این روند منحرف میشوند، بنابراین کاملاً توسط الگوریتمها قابل پیشبینی هستند.»
بنابراین، مطمئنترین راه حل، تولید یک رمز عبور کاملاً تصادفی با استفاده از برنامههای مدیریت رمز عبور مدرن و قابل اعتماد است. چنین برنامههایی میتوانند حجم زیادی از دادهها را به صورت ایمن ذخیره کنند و محافظت جامع و قوی برای اطلاعات کاربر فراهم کنند.
برای افزایش قدرت رمزهای عبور، کاربران میتوانند نکات ساده زیر را به کار گیرند: از نرمافزارهای امنیت شبکه برای مدیریت رمزهای عبور استفاده کنید؛ برای سرویسهای مختلف از رمزهای عبور مختلف استفاده کنید. به این ترتیب، حتی اگر یکی از حسابهای شما هک شود، بقیه همچنان ایمن هستند؛ عبارات عبور به کاربران کمک میکنند تا در صورت فراموش کردن رمزهای عبور، حسابهای خود را بازیابی کنند، استفاده از کلمات کمتر رایج امنتر است. علاوه بر این، آنها میتوانند از یک سرویس آنلاین برای بررسی قدرت رمزهای عبور خود استفاده کنند.
از استفاده از اطلاعات شخصی مانند تاریخ تولد، نام اعضای خانواده، نام حیوانات خانگی یا لقبها به عنوان رمز عبور خودداری کنید. اینها اغلب اولین مواردی هستند که مهاجمان هنگام تلاش برای شکستن رمز عبور امتحان میکنند.
منبع
نظر (0)