אימות דו-שלבי (2FA) כבר אינו אבטחה חסינת תקלות. איור צילום
צורת התקפה חדשה
אימות דו-שלבי (2FA) הפך לתכונת אבטחה סטנדרטית באבטחת סייבר. הוא דורש ממשתמשים לאמת את זהותם באמצעות שלב אימות שני, בדרך כלל סיסמה חד-פעמית (OTP) הנשלחת באמצעות הודעת טקסט, דוא"ל או אפליקציית אימות. שכבת אבטחה נוספת זו נועדה להגן על חשבון המשתמש גם אם הסיסמה שלו נגנבת.
למרות ש-2FA מאומץ באופן נרחב על ידי אתרים רבים ונדרש על ידי ארגונים, לאחרונה, מומחי אבטחת סייבר של קספרסקי גילו התקפות פישינג בהן משתמשים פושעי סייבר כדי לעקוף את 2FA.
בהתאם לכך, תוקפי סייבר עברו לצורה מתוחכמת יותר של מתקפת סייבר, על ידי שילוב של פישינג עם בוטים אוטומטיים של OTP כדי להערים על משתמשים ולקבל גישה בלתי מורשית לחשבונותיהם. באופן ספציפי, נוכלים מרמים משתמשים לחשוף את ה-OTP הללו כדי לאפשר להם לעקוף אמצעי הגנה דו-שלביים.
פושעי סייבר משלבים פישינג עם בוטים אוטומטיים של OTP כדי להערים על משתמשים ולקבל גישה לא מורשית לחשבונות שלהם. איור צילום
אפילו בוטים של OTP, כלי מתוחכם, משמשים נוכלים ליירט קודי OTP באמצעות התקפות הנדסה חברתית. תוקפים מנסים לעתים קרובות לגנוב את פרטי הכניסה של הקורבנות באמצעות שיטות כמו פישינג או ניצול פגיעויות נתונים. לאחר מכן הם מתחברים לחשבון הקורבן, מה שגורם לשליחת קודי OTP לטלפון שלו.
בשלב הבא, בוט ה-OTP יתקשר אוטומטית לקורבן, יתחזה לעובד של ארגון מהימן, באמצעות סקריפט שיחה מתוכנת מראש כדי לשכנע את הקורבן לחשוף את קוד ה-OTP. לבסוף, התוקף מקבל את קוד ה-OTP דרך הבוט ומשתמש בו כדי לגשת לחשבון הקורבן באופן לא חוקי.
נוכלים מעדיפים לעתים קרובות שיחות קוליות על פני הודעות טקסט מכיוון שקורבנות נוטים להגיב מהר יותר לשיטה זו. בהתאם לכך, בוטים של OTP ידמו את הטון והדחיפות של שיחה אנושית כדי ליצור תחושת אמון ושכנוע.
נוכלים שולטים בבוטים של OTP באמצעות לוחות מחוונים מקוונים ייעודיים או פלטפורמות העברת הודעות כמו טלגרם. בוטים אלה מגיעים גם עם תכונות שונות ותוכניות מנוי, מה שמקל על התוקפים לפעול. תוקפים יכולים להתאים אישית את תכונות הבוט כדי להתחזות לארגונים, להשתמש בשפות מרובות ואף לבחור טון קול גברי או נקבה. אפשרויות מתקדמות כוללות זיוף מספרי טלפון, מה שגורם למספר הטלפון של המתקשר להיראות כאילו הוא מארגון לגיטימי על מנת להערים על הקורבן בצורה מתוחכמת.
ככל שהטכנולוגיה מתפתחת, כך עולה הדרישה להגנה על החשבון. צילום איור
כדי להשתמש בבוט OTP, הנוכל צריך לגנוב תחילה את פרטי הכניסה של הקורבן. לעתים קרובות הם משתמשים באתרי פישינג שנועדו להיראות בדיוק כמו דפי כניסה לגיטימיים עבור בנקים, שירותי דוא"ל או חשבונות מקוונים אחרים. כאשר הקורבן מזין את שם המשתמש והסיסמה שלו, הנוכל אוסף מידע זה באופן אוטומטי באופן מיידי (בזמן אמת).
בין ה-1 במרץ ל-31 במאי 2024, פתרונות האבטחה של קספרסקי מנעו 653,088 ביקורים באתרים שנוצרו על ידי ערכות פישינג המכוונות לבנקים. נתונים שנגנבו מאתרים אלה משמשים לעתים קרובות במתקפות בוט של OTP. במהלך אותה תקופה, מומחים זיהו 4,721 אתרי פישינג שנוצרו על ידי הערכות כדי לעקוף אימות דו-שלבי בזמן אמת.
אל תיצרו סיסמאות נפוצות.
אולגה סוויסטונובה, מומחית אבטחה בקספרסקי, הגיבה: "התקפות הנדסה חברתית נחשבות לשיטות הונאה מתוחכמות ביותר, במיוחד עם הופעתם של בוטים של OTP עם היכולת לדמות באופן לגיטימי שיחות מנציגי שירות. כדי להישאר ערניים, חשוב לשמור על ערנות ולפעול לפי אמצעי האבטחה."
האקרים רק צריכים להשתמש באלגוריתמים חכמים לחיזוי כדי לגלות סיסמאות בקלות. איור צילום
מכיוון שבניתוח של 193 מיליון סיסמאות שביצעו מומחי קספרסקי באמצעות אלגוריתמים חכמים לניחוש בתחילת יוני, מדובר גם בסיסמאות שנפרצו ונמכרו בדארקנט על ידי גנבי מידע, עולה כי 45% (שווה ערך ל-87 מיליון סיסמאות) ניתנות לפיצוח בהצלחה תוך דקה; רק 23% (שווה ערך ל-44 מיליון) מצירופי הסיסמאות נחשבים חזקים מספיק כדי לעמוד בפני התקפות ופיצוח סיסמאות אלו ייקח יותר משנה. עם זאת, את רוב הסיסמאות הנותרות עדיין ניתן לפצח בין שעה לחודש.
בנוסף, מומחי אבטחת סייבר חשפו גם את צירופי התווים הנפוצים ביותר כאשר משתמשים מגדירים סיסמאות כגון: שם: "ahmed", "nguyen", "kumar", "kevin", "daniel"; מילים פופולריות: "forever", "love", "google", "hacker", "gamer"; סיסמאות סטנדרטיות: "password", "qwerty12345", "admin", "12345", "team".
הניתוח מצא שרק 19% מהסיסמאות הכילו שילוב סיסמה חזק, הכולל מילה שאינה מהמילון, אותיות גדולות וקטנות, כמו גם מספרים וסמלים. במקביל, המחקר מצא גם ש-39% מהסיסמאות החזקות הללו עדיין ניתנות לניחוש על ידי אלגוריתמים חכמים בפחות משעה.
מעניין לציין שתוקפים אינם זקוקים לידע מיוחד או לציוד מתקדם כדי לפצח סיסמאות. לדוגמה, מעבד ייעודי של מחשב נייד יכול לפצח במדויק שילוב סיסמה של שמונה אותיות קטנות או מספרים תוך 7 דקות בלבד. כרטיס מסך משולב יכול לעשות את אותו הדבר תוך 17 שניות. בנוסף, אלגוריתמים חכמים לניחוש סיסמאות נוטים להחליף תווים ("e" ב-"3", "1" ב-"!" או "a" ב-"@") ומחרוזות נפוצות ("qwerty", "12345", "asdfg").
עליך להשתמש בסיסמאות עם מחרוזות תווים אקראיות כדי להקשות על האקרים לנחש אותן. איור צילום
"באופן לא מודע, אנשים נוטים לבחור סיסמאות פשוטות מאוד, ולעתים קרובות באמצעות מילים מהמילון בשפת האם שלהם, כגון שמות ומספרים... אפילו צירופי סיסמאות חזקים לעיתים רחוקות סוטים ממגמה זו, ולכן הם ניתנים לחיזוי לחלוטין על ידי אלגוריתמים", אמרה יוליה נוביקובה, ראש מחלקת טביעת רגל דיגיטלית בקספרסקי.
לכן, הפתרון האמין ביותר הוא ליצור סיסמה אקראית לחלוטין באמצעות מנהלי סיסמאות מודרניים ואמינים. יישומים כאלה יכולים לאחסן כמויות גדולות של נתונים בצורה מאובטחת, ולספק הגנה מקיפה וחזקה על מידע המשתמש.
כדי להגביר את חוזק הסיסמאות, משתמשים יכולים ליישם את הטיפים הפשוטים הבאים: השתמשו בתוכנת אבטחת רשת לניהול סיסמאות; השתמשו בסיסמאות שונות עבור שירותים שונים. בדרך זו, גם אם אחד החשבונות שלכם נפרץ, האחרים עדיין בטוחים; ביטויי סיסמה עוזרים למשתמשים לשחזר חשבונות כאשר הם שוכחים את הסיסמאות שלהם, בטוח יותר להשתמש במילים פחות נפוצות. בנוסף, הם יכולים להשתמש בשירות מקוון כדי לבדוק את חוזק הסיסמאות שלהם.
הימנעו משימוש במידע אישי, כגון ימי הולדת, שמות של בני משפחה, שמות של חיות מחמד או כינויים, כסיסמה שלכם. אלו הם לרוב הדברים הראשונים שתוקפים ינסו לפצח סיסמה.
מָקוֹר
![[תמונה] ג'ינסנג הר דן, מתנה יקרה מהטבע לארץ קין בק](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F11%2F30%2F1764493588163_ndo_br_anh-longform-jpg.webp&w=3840&q=75)
תגובה (0)