ການເຕືອນກ່ຽວກັບການໂຈມຕີ phishing ເພື່ອຂ້າມຜ່ານການກວດສອບສອງປັດໃຈ

ການພິສູດຢືນຢັນສອງປັດໃຈ (2FA) ບໍ່ແມ່ນຄວາມປອດໄພທີ່ຫຼອກລວງອີກຕໍ່ໄປ. ຮູບປະກອບ

ຮູບ​ແບບ​ການ​ໂຈມ​ຕີ​ໃຫມ່​

ການພິສູດຢືນຢັນສອງປັດໃຈ (2FA) ໄດ້ກາຍເປັນຄຸນສົມບັດຄວາມປອດໄພມາດຕະຖານໃນຄວາມປອດໄພທາງອິນເຕີເນັດ. ມັນຮຽກຮ້ອງໃຫ້ຜູ້ໃຊ້ຢັ້ງຢືນຕົວຕົນຂອງເຂົາເຈົ້າດ້ວຍຂັ້ນຕອນການພິສູດຢືນຢັນທີສອງ, ໂດຍປົກກະຕິແມ່ນລະຫັດຜ່ານຄັ້ງດຽວ (OTP) ທີ່ສົ່ງຜ່ານຂໍ້ຄວາມ, ອີເມວ, ຫຼື app ການກວດສອບຄວາມຖືກຕ້ອງ. ຊັ້ນຄວາມປອດໄພເພີ່ມເຕີມນີ້ແມ່ນມີຈຸດປະສົງເພື່ອປົກປ້ອງບັນຊີຂອງຜູ້ໃຊ້ເຖິງແມ່ນວ່າລະຫັດຜ່ານຂອງເຂົາເຈົ້າຖືກລັກ.

ເຖິງແມ່ນວ່າ 2FA ໄດ້ຖືກຮັບຮອງເອົາຢ່າງກວ້າງຂວາງໂດຍຫຼາຍເວັບໄຊທ໌ແລະຕ້ອງການໂດຍອົງການຈັດຕັ້ງ, ບໍ່ດົນມານີ້, ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພທາງອິນເຕີເນັດ Kaspersky ໄດ້ຄົ້ນພົບການໂຈມຕີ phishing ທີ່ໃຊ້ໂດຍອາຊະຍາກໍາທາງອິນເຕີເນັດເພື່ອຂ້າມ 2FA.

ຕາມນັ້ນແລ້ວ, ຜູ້ໂຈມຕີທາງອິນເຕີເນັດໄດ້ປ່ຽນເປັນຮູບແບບການໂຈມຕີທາງອິນເຕີເນັດທີ່ທັນສະໄໝກວ່າ, ໂດຍການລວມເອົາການຫຼອກເອົາຂໍ້ມູນກັບບອທ໌ OTP ອັດຕະໂນມັດເພື່ອຫຼອກລວງຜູ້ໃຊ້ ແລະເຂົ້າເຖິງບັນຊີຂອງເຂົາເຈົ້າໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ. ໂດຍສະເພາະ, scammers ຫຼອກລວງຜູ້ໃຊ້ໃຫ້ເປີດເຜີຍ OTPs ເຫຼົ່ານີ້ເພື່ອອະນຸຍາດໃຫ້ພວກເຂົາຂ້າມມາດຕະການປ້ອງກັນ 2FA.

cybercriminals ສົມທົບການ phishing ກັບ bots OTP ອັດຕະໂນມັດເພື່ອຫລອກລວງຜູ້ໃຊ້ແລະໄດ້ຮັບການເຂົ້າເຖິງບັນຊີຂອງເຂົາເຈົ້າໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ. ຮູບປະກອບ

ເຖິງແມ່ນວ່າ bots OTP, ເຄື່ອງມືທີ່ຊັບຊ້ອນ, ຖືກນໍາໃຊ້ໂດຍ scammers ເພື່ອສະກັດລະຫັດ OTP ຜ່ານການໂຈມຕີວິສະວະກໍາສັງຄົມ. ຜູ້ໂຈມຕີມັກຈະພະຍາຍາມລັກເອົາຂໍ້ມູນການເຂົ້າສູ່ລະບົບຂອງຜູ້ເຄາະຮ້າຍຜ່ານວິທີການເຊັ່ນ: ການຫຼອກເອົາຂໍ້ມູນ ຫຼືການຂູດຮີດຊ່ອງໂຫວ່ຂອງຂໍ້ມູນ. ຫຼັງຈາກນັ້ນ, ເຂົາເຈົ້າເຂົ້າສູ່ລະບົບບັນຊີຂອງຜູ້ເຄາະຮ້າຍ, ເຮັດໃຫ້ເກີດການສົ່ງລະຫັດ OTP ໄປຫາໂທລະສັບຂອງຜູ້ເຄາະຮ້າຍ.

ຕໍ່ໄປ, bot OTP ຈະໂທຫາຜູ້ຖືກເຄາະຮ້າຍໂດຍອັດຕະໂນມັດ, ປອມຕົວເປັນພະນັກງານຂອງອົງການທີ່ເຊື່ອຖືໄດ້, ໂດຍໃຊ້ສະຄິບສົນທະນາກ່ອນໂຄງການເພື່ອຊັກຊວນໃຫ້ຜູ້ເຄາະຮ້າຍເປີດເຜີຍລະຫັດ OTP. ສຸດທ້າຍ, ຜູ້ໂຈມຕີໄດ້ຮັບລະຫັດ OTP ຜ່ານ bot ແລະໃຊ້ມັນເພື່ອເຂົ້າຫາບັນຊີຂອງຜູ້ຖືກເຄາະຮ້າຍຢ່າງຜິດກົດຫມາຍ.

ຜູ້ສໍ້ໂກງມັກຈະໂທຫາສຽງຜ່ານຂໍ້ຄວາມເພາະວ່າຜູ້ຖືກເຄາະຮ້າຍມັກຈະຕອບສະຫນອງຕໍ່ວິທີການນີ້ໄວກວ່າ. ດັ່ງນັ້ນ, bots OTP ຈະຈໍາລອງສຽງແລະຄວາມຮີບດ່ວນຂອງການໂທຂອງມະນຸດເພື່ອສ້າງຄວາມຮູ້ສຶກຂອງຄວາມເຊື່ອຫມັ້ນແລະການຊັກຊວນ.

Fraudsters ຄວບຄຸມ bots OTP ຜ່ານ dashboards ອອນໄລນ໌ທີ່ອຸທິດຕົນຫຼືເວທີການສົ່ງຂໍ້ຄວາມເຊັ່ນ Telegram. bots ເຫຼົ່ານີ້ຍັງມາພ້ອມກັບລັກສະນະຕ່າງໆແລະແຜນການສະຫມັກ, ເຮັດໃຫ້ມັນງ່າຍຂຶ້ນສໍາລັບຜູ້ໂຈມຕີທີ່ຈະປະຕິບັດ. ຜູ້ໂຈມຕີສາມາດປັບແຕ່ງລັກສະນະຂອງ bot ເພື່ອປອມຕົວເປັນອົງການຈັດຕັ້ງ, ໃຊ້ຫຼາຍພາສາ, ແລະແມ້ກະທັ້ງເລືອກສຽງຜູ້ຊາຍຫຼືຍິງ. ທາງເລືອກຂັ້ນສູງລວມມີການຫຼອກລວງເບີໂທລະສັບ, ເຊິ່ງເຮັດໃຫ້ເບີໂທລະສັບຂອງຜູ້ໂທປະກົດວ່າມາຈາກອົງການຈັດຕັ້ງທີ່ຖືກຕ້ອງຕາມກົດຫມາຍເພື່ອຫລອກລວງຜູ້ຖືກເຄາະຮ້າຍໃນທາງທີ່ຊັບຊ້ອນ.

ເທກໂນໂລຍີພັດທະນາຫຼາຍ, ຄວາມຕ້ອງການການປົກປ້ອງບັນຊີສູງຂຶ້ນ. ຮູບປະກອບ

ເພື່ອໃຊ້ bot OTP, scammer ຈໍາເປັນຕ້ອງໄດ້ລັກຂໍ້ມູນການເຂົ້າສູ່ລະບົບຂອງຜູ້ເຄາະຮ້າຍກ່ອນ. ເຂົາເຈົ້າມັກໃຊ້ເວັບໄຊທ໌ phishing ທີ່ຖືກອອກແບບມາໃຫ້ເບິ່ງຄືກັບຫນ້າເຂົ້າສູ່ລະບົບທີ່ຖືກຕ້ອງຕາມກົດໝາຍຂອງທະນາຄານ, ບໍລິການອີເມລ໌, ຫຼືບັນຊີອອນໄລນ໌ອື່ນໆ. ເມື່ອຜູ້ຖືກເຄາະຮ້າຍໃສ່ຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານຂອງພວກເຂົາ, scammer ອັດຕະໂນມັດເກັບກໍາຂໍ້ມູນນີ້ທັນທີ (ໃນເວລາທີ່ແທ້ຈິງ).

ລະຫວ່າງວັນທີ 1 ມີນາ ຫາ 31 ພຶດສະພາ 2024, ໂຊລູຊັ່ນຄວາມປອດໄພ Kaspersky ໄດ້ປ້ອງກັນການເຂົ້າເບິ່ງເວັບໄຊທ໌ 653,088 ຄັ້ງທີ່ສ້າງໂດຍຊຸດ phishing ທີ່ແນໃສ່ທະນາຄານ. ຂໍ້ມູນທີ່ຖືກລັກຈາກເວັບໄຊທ໌ເຫຼົ່ານີ້ມັກຈະຖືກນໍາໃຊ້ໃນການໂຈມຕີ OTP bot. ໃນລະຫວ່າງໄລຍະເວລາດຽວກັນ, ຜູ້ຊ່ຽວຊານໄດ້ກວດພົບ 4,721 ເວັບໄຊທ໌ phishing ທີ່ສ້າງຂຶ້ນໂດຍຊຸດເພື່ອຂ້າມຜ່ານການກວດສອບສອງປັດໃຈໃນເວລາຈິງ.

ຢ່າສ້າງລະຫັດຜ່ານທົ່ວໄປ.

Olga Svistunova, ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພຂອງ Kaspersky, ໃຫ້ຄໍາເຫັນວ່າ: "ການໂຈມຕີທາງດ້ານວິສະວະກໍາສັງຄົມແມ່ນຖືວ່າເປັນວິທີການສໍ້ໂກງທີ່ຊັບຊ້ອນທີ່ສຸດ, ໂດຍສະເພາະກັບການປະກົດຕົວຂອງ bots OTP ທີ່ມີຄວາມສາມາດໃນການຈໍາລອງການໂທຈາກຕົວແທນບໍລິການທີ່ຖືກຕ້ອງຕາມກົດຫມາຍ. ເພື່ອຮັກສາຄວາມລະມັດລະວັງ, ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະຮັກສາຄວາມລະມັດລະວັງແລະປະຕິບັດຕາມມາດຕະການຄວາມປອດໄພ."

ແຮກເກີພຽງແຕ່ຕ້ອງການໃຊ້ສູດການຄິດໄລ່ທີ່ສະຫລາດເພື່ອຊອກຫາລະຫັດຜ່ານໄດ້ງ່າຍ. ຮູບປະກອບ

ເນື່ອງຈາກວ່າໃນການວິເຄາະ 193 ລ້ານລະຫັດຜ່ານທີ່ດໍາເນີນໂດຍຜູ້ຊ່ຽວຊານ Kaspersky ໂດຍໃຊ້ສູດການຄິດໄລ່ smart ໃນຕົ້ນເດືອນມິຖຸນາ, ເຫຼົ່ານີ້ຍັງເປັນລະຫັດຜ່ານທີ່ຖືກປະນີປະນອມແລະຂາຍໃນ darknet ໂດຍໂຈນຂໍ້ມູນ, ມັນສະແດງໃຫ້ເຫັນວ່າ 45% (ເທົ່າກັບ 87 ລ້ານລະຫັດຜ່ານ) ສາມາດ cracked ສົບຜົນສໍາເລັດພາຍໃນຫນຶ່ງນາທີ; ພຽງແຕ່ 23% (ເທົ່າກັບ 44 ລ້ານ) ຂອງການລວມລະຫັດຜ່ານຖືວ່າແຂງແຮງພໍທີ່ຈະຕ້ານກັບການໂຈມຕີແລະການ cracking ລະຫັດຜ່ານເຫຼົ່ານີ້ຈະໃຊ້ເວລາຫຼາຍກວ່າຫນຶ່ງປີ. ຢ່າງໃດກໍຕາມ, ສ່ວນໃຫຍ່ຂອງລະຫັດຜ່ານທີ່ຍັງເຫຼືອຍັງສາມາດຖືກ crack ຈາກ 1 ຊົ່ວໂມງຫາ 1 ເດືອນ.

ນອກຈາກນັ້ນ, ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພທາງອິນເຕີເນັດຍັງເປີດເຜີຍການລວມຕົວລະຄອນທີ່ໃຊ້ກັນຫຼາຍທີ່ສຸດເມື່ອຜູ້ໃຊ້ຕັ້ງລະຫັດຜ່ານເຊັ່ນ: ຊື່: "ahmed", "nguyen", "kumar", "kevin", "daniel"; ຄໍາທີ່ນິຍົມ: "ຕະຫຼອດໄປ", "ຮັກ", "google", "ແຮກເກີ", "ຜູ້ຫຼິ້ນເກມ"; ລະຫັດຜ່ານມາດຕະຖານ: "ລະຫັດຜ່ານ", "qwerty12345", "admin", "12345", "ທີມງານ".

ການວິເຄາະພົບວ່າມີພຽງແຕ່ 19% ຂອງລະຫັດຜ່ານທີ່ມີການປະສົມປະສານລະຫັດຜ່ານທີ່ເຂັ້ມແຂງ, ລວມທັງຄໍາສັບທີ່ບໍ່ແມ່ນພົດຈະນານຸກົມ, ທັງຕົວພິມໃຫຍ່ແລະຕົວພິມນ້ອຍ, ເຊັ່ນດຽວກັນກັບຕົວເລກແລະສັນຍາລັກ. ໃນຂະນະດຽວກັນ, ການສຶກສາຍັງພົບວ່າ 39% ຂອງລະຫັດຜ່ານທີ່ເຂັ້ມແຂງເຫຼົ່ານັ້ນຍັງສາມາດຄາດເດົາໄດ້ໂດຍ algorithms smart ໃນເວລາຫນ້ອຍກວ່າຫນຶ່ງຊົ່ວໂມງ.

ຫນ້າສົນໃຈ, ຜູ້ໂຈມຕີບໍ່ຕ້ອງການຄວາມຮູ້ພິເສດຫຼືອຸປະກອນຂັ້ນສູງເພື່ອ crack ລະຫັດຜ່ານ. ຕົວຢ່າງເຊັ່ນ, ໂປເຊດເຊີແລັບທັອບທີ່ອຸທິດຕົນສາມາດບັງຄັບໃຫ້ມີການລວມລະຫັດຜ່ານຂອງຕົວອັກສອນຕົວພິມນ້ອຍແປດຕົວພິມນ້ອຍຫຼືຕົວເລກໄດ້ຢ່າງຖືກຕ້ອງໃນເວລາພຽງ 7 ນາທີ. ບັດກາຟິກແບບປະສົມປະສານສາມາດເຮັດໄດ້ຄືກັນໃນ 17 ວິນາທີ. ນອກຈາກນັ້ນ, ຂັ້ນຕອນການຄາດເດົາລະຫັດຜ່ານທີ່ສະຫຼາດມີແນວໂນ້ມທີ່ຈະປ່ຽນຕົວອັກສອນ ("e" ສໍາລັບ "3", "1" ສໍາລັບ "!" ຫຼື "a" ສໍາລັບ "@") ແລະສະຕຣິງທົ່ວໄປ ("qwerty", "12345", "asdfg").

ທ່ານຄວນໃຊ້ລະຫັດຜ່ານທີ່ມີສາຍຕົວອັກສອນແບບສຸ່ມເພື່ອເຮັດໃຫ້ແຮກເກີຄາດເດົາໄດ້ຍາກ. ຮູບປະກອບ

"ໂດຍບໍ່ຮູ້ຕົວ, ຜູ້ຄົນມັກຈະເລືອກລະຫັດຜ່ານທີ່ງ່າຍດາຍຫຼາຍ, ມັກຈະໃຊ້ຄໍາສັບພົດຈະນານຸກົມໃນພາສາກໍາເນີດຂອງເຂົາເຈົ້າ, ເຊັ່ນ: ຊື່ແລະຕົວເລກ ... ເຖິງແມ່ນວ່າການລວມລະຫັດຜ່ານທີ່ເຂັ້ມແຂງບໍ່ຄ່ອຍຈະ deviate ຈາກແນວໂນ້ມນີ້, ດັ່ງນັ້ນເຂົາເຈົ້າໄດ້ຖືກຄາດຄະເນຢ່າງສົມບູນໂດຍ algorithms," Yuliya Novikova, ຫົວຫນ້າຂອງ Digital Footprint Intelligence ຢູ່ Kaspersky ກ່າວ.

ດັ່ງນັ້ນ, ການແກ້ໄຂທີ່ເຊື່ອຖືໄດ້ຫຼາຍທີ່ສຸດແມ່ນການສ້າງລະຫັດຜ່ານແບບສຸ່ມຢ່າງສົມບູນໂດຍໃຊ້ຕົວຈັດການລະຫັດຜ່ານທີ່ທັນສະໄຫມແລະເຊື່ອຖືໄດ້. ແອັບພລິເຄຊັນດັ່ງກ່າວສາມາດເກັບຮັກສາຂໍ້ມູນຈໍານວນຫຼວງຫຼາຍໄດ້ຢ່າງປອດໄພ, ສະຫນອງການປົກປ້ອງຂໍ້ມູນຜູ້ໃຊ້ທີ່ສົມບູນແບບແລະແຂງແຮງ.

ເພື່ອເພີ່ມຄວາມເຂັ້ມແຂງຂອງລະຫັດຜ່ານ, ຜູ້ໃຊ້ສາມາດນໍາໃຊ້ຄໍາແນະນໍາງ່າຍໆຕໍ່ໄປນີ້: ໃຊ້ຊອບແວຄວາມປອດໄພເຄືອຂ່າຍເພື່ອຈັດການລະຫັດຜ່ານ; ໃຊ້ລະຫັດຜ່ານທີ່ແຕກຕ່າງກັນສໍາລັບການບໍລິການທີ່ແຕກຕ່າງກັນ. ວິທີການນີ້, ເຖິງແມ່ນວ່າຫນຶ່ງໃນບັນຊີຂອງທ່ານຖືກ hacked, ຄົນອື່ນຍັງປອດໄພ; passphrases ຊ່ວຍໃຫ້ຜູ້ໃຊ້ຟື້ນຕົວບັນຊີໃນເວລາທີ່ພວກເຂົາລືມລະຫັດຜ່ານຂອງເຂົາເຈົ້າ, ມັນປອດໄພກວ່າທີ່ຈະໃຊ້ຄໍາສັບທົ່ວໄປຫນ້ອຍ. ນອກຈາກນັ້ນ, ພວກເຂົາສາມາດໃຊ້ບໍລິການອອນໄລນ໌ເພື່ອກວດເບິ່ງຄວາມເຂັ້ມແຂງຂອງລະຫັດຜ່ານຂອງພວກເຂົາ.

ຫຼີກເວັ້ນການນໍາໃຊ້ຂໍ້ມູນສ່ວນຕົວ, ເຊັ່ນ: ວັນເດືອນປີເກີດ, ຊື່ສະມາຊິກໃນຄອບຄົວ, ຊື່ສັດ, ຫຼືຊື່ຫຼິ້ນ, ເປັນລະຫັດຜ່ານຂອງທ່ານ. ເຫຼົ່ານີ້ມັກຈະເປັນສິ່ງທໍາອິດທີ່ຜູ້ໂຈມຕີຈະພະຍາຍາມໃນເວລາທີ່ພະຍາຍາມ crack ລະຫັດຜ່ານ.