Pengesahan dua faktor (2FA) bukan lagi keselamatan kalis mudah. Foto ilustrasi
Bentuk serangan baru
Pengesahan dua faktor (2FA) telah menjadi ciri keselamatan standard dalam keselamatan siber. Ia memerlukan pengguna untuk mengesahkan identiti mereka dengan langkah pengesahan kedua, biasanya kata laluan sekali sahaja (OTP) yang dihantar melalui mesej teks, e-mel atau apl pengesahan. Lapisan keselamatan tambahan ini bertujuan untuk melindungi akaun pengguna walaupun kata laluan mereka dicuri.
Walaupun 2FA diterima pakai secara meluas oleh banyak tapak web dan diperlukan oleh organisasi, baru-baru ini, pakar keselamatan siber Kaspersky telah menemui serangan pancingan data yang digunakan oleh penjenayah siber untuk memintas 2FA.
Sehubungan itu, penyerang siber telah bertukar kepada bentuk serangan siber yang lebih canggih, dengan menggabungkan pancingan data dengan bot OTP automatik untuk menipu pengguna dan mendapatkan akses tanpa kebenaran ke akaun mereka. Khususnya, penipu menipu pengguna supaya mendedahkan OTP ini untuk membolehkan mereka memintas langkah perlindungan 2FA.
Penjenayah siber menggabungkan pancingan data dengan bot OTP automatik untuk menipu pengguna dan mendapatkan akses tanpa kebenaran ke akaun mereka. Foto ilustrasi
Malah bot OTP, alat yang canggih, digunakan oleh penipu untuk memintas kod OTP melalui serangan kejuruteraan sosial. Penyerang sering cuba mencuri bukti kelayakan log masuk mangsa melalui kaedah seperti pancingan data atau mengeksploitasi kelemahan data. Mereka kemudian log masuk ke akaun mangsa, mencetuskan penghantaran kod OTP ke telefon mangsa.
Seterusnya, bot OTP akan secara automatik memanggil mangsa, menyamar sebagai pekerja organisasi yang dipercayai, menggunakan skrip perbualan yang telah diprogramkan untuk meyakinkan mangsa supaya mendedahkan kod OTP. Akhirnya, penyerang menerima kod OTP melalui bot dan menggunakannya untuk mengakses akaun mangsa secara haram.
Penipu sering memilih panggilan suara berbanding mesej teks kerana mangsa cenderung untuk bertindak balas dengan lebih cepat kepada kaedah ini. Sehubungan itu, bot OTP akan mensimulasikan nada dan kesegeraan panggilan manusia untuk mewujudkan rasa percaya dan pujukan.
Penipu mengawal bot OTP melalui papan pemuka dalam talian khusus atau platform pemesejan seperti Telegram. Bot ini juga disertakan dengan pelbagai ciri dan pelan langganan, memudahkan penyerang bertindak. Penyerang boleh menyesuaikan ciri bot untuk menyamar sebagai organisasi, menggunakan berbilang bahasa dan juga memilih nada suara lelaki atau perempuan. Pilihan lanjutan termasuk penipuan nombor telefon, yang menjadikan nombor telefon pemanggil kelihatan seperti daripada organisasi yang sah untuk menipu mangsa dengan cara yang canggih.
Semakin banyak teknologi berkembang, semakin tinggi keperluan untuk perlindungan akaun. Foto ilustrasi
Untuk menggunakan bot OTP, penipu perlu mencuri bukti kelayakan log masuk mangsa terlebih dahulu. Mereka sering menggunakan tapak web pancingan data yang direka bentuk untuk kelihatan sama seperti halaman log masuk bank, perkhidmatan e-mel atau akaun dalam talian lain yang sah. Apabila mangsa memasukkan nama pengguna dan kata laluan mereka, penipu secara automatik mengumpul maklumat ini serta-merta (dalam masa nyata).
Antara 1 Mac dan 31 Mei 2024, penyelesaian keselamatan Kaspersky menghalang 653,088 lawatan ke tapak web yang dibuat oleh kit pancingan data yang menyasarkan bank. Data yang dicuri daripada tapak web ini sering digunakan dalam serangan bot OTP. Dalam tempoh yang sama, pakar mengesan 4,721 tapak web pancingan data yang dibuat oleh kit untuk memintas pengesahan dua faktor masa nyata.
Jangan buat kata laluan biasa.
Olga Svistunova, pakar keselamatan di Kaspersky, mengulas: "Serangan kejuruteraan sosial dianggap kaedah penipuan yang sangat canggih, terutamanya dengan kemunculan bot OTP dengan keupayaan untuk mensimulasikan panggilan daripada wakil perkhidmatan secara sah. Untuk kekal berwaspada, adalah penting untuk mengekalkan kewaspadaan dan mematuhi langkah keselamatan."
Penggodam hanya perlu menggunakan algoritma ramalan pintar untuk mengetahui kata laluan dengan mudah. Foto ilustrasi
Kerana dalam analisis 193 juta kata laluan yang dijalankan oleh pakar Kaspersky menggunakan algoritma meneka pintar pada awal Jun, ini juga kata laluan yang telah dikompromi dan dijual di darknet oleh pencuri maklumat, ia menunjukkan bahawa 45% (bersamaan dengan 87 juta kata laluan) boleh berjaya dipecahkan dalam masa seminit; hanya 23% (bersamaan dengan 44 juta) gabungan kata laluan dianggap cukup kuat untuk menentang serangan dan memecahkan kata laluan ini akan mengambil masa lebih daripada setahun. Walau bagaimanapun, kebanyakan kata laluan yang tinggal masih boleh dipecahkan dari 1 jam hingga 1 bulan.
Selain itu, pakar keselamatan siber juga mendedahkan kombinasi aksara yang paling biasa digunakan apabila pengguna menyediakan kata laluan seperti: Nama: "ahmed", "nguyen", "kumar", "kevin", "daniel"; perkataan popular: "selamanya", "cinta", "google", "penggodam", "gamer"; kata laluan standard: "kata laluan", "qwerty12345", "admin", "12345", "pasukan".
Analisis mendapati bahawa hanya 19% kata laluan mengandungi gabungan kata laluan yang kuat, termasuk perkataan bukan kamus, kedua-dua huruf besar dan kecil, serta nombor dan simbol. Pada masa yang sama, kajian itu juga mendapati bahawa 39% daripada kata laluan yang kuat itu masih boleh diteka oleh algoritma pintar dalam masa kurang daripada satu jam.
Menariknya, penyerang tidak memerlukan pengetahuan khusus atau peralatan lanjutan untuk memecahkan kata laluan. Contohnya, pemproses komputer riba yang berdedikasi dengan tepat boleh memaksa gabungan kata laluan lapan huruf kecil atau nombor dalam masa 7 minit sahaja. Kad grafik bersepadu boleh melakukan perkara yang sama dalam 17 saat. Selain itu, algoritma meneka kata laluan pintar cenderung untuk menggantikan aksara ("e" untuk "3", "1" untuk "!" atau "a" untuk "@") dan rentetan biasa ("qwerty", "12345", "asdfg").
Anda harus menggunakan kata laluan dengan rentetan aksara rawak untuk menyukarkan penggodam meneka. Foto ilustrasi
"Secara tidak sedar, orang cenderung memilih kata laluan yang sangat mudah, selalunya menggunakan perkataan kamus dalam bahasa ibunda mereka, seperti nama dan nombor... Malah kombinasi kata laluan yang kuat jarang menyimpang daripada trend ini, jadi ia boleh diramal sepenuhnya oleh algoritma," kata Yuliya Novikova, Ketua Perisikan Jejak Digital di Kaspersky.
Oleh itu, penyelesaian yang paling boleh dipercayai ialah menjana kata laluan rawak sepenuhnya menggunakan pengurus kata laluan moden dan boleh dipercayai. Aplikasi sedemikian boleh menyimpan sejumlah besar data dengan selamat, memberikan perlindungan yang komprehensif dan kukuh untuk maklumat pengguna.
Untuk meningkatkan kekuatan kata laluan, pengguna boleh menggunakan petua mudah berikut: Gunakan perisian keselamatan rangkaian untuk mengurus kata laluan; gunakan kata laluan yang berbeza untuk perkhidmatan yang berbeza. Dengan cara ini, walaupun salah satu akaun anda digodam, yang lain masih selamat; frasa laluan membantu pengguna memulihkan akaun apabila mereka terlupa kata laluan mereka, adalah lebih selamat untuk menggunakan perkataan yang kurang biasa. Selain itu, mereka boleh menggunakan perkhidmatan dalam talian untuk menyemak kekuatan kata laluan mereka.
Elakkan menggunakan maklumat peribadi, seperti hari lahir, nama ahli keluarga, nama haiwan peliharaan atau nama panggilan, sebagai kata laluan anda. Ini selalunya perkara pertama yang akan dicuba oleh penyerang apabila cuba memecahkan kata laluan.
Sumber
Komen (0)