Tofaktorautentisering (2FA) er ikke lenger idiotsikker sikkerhet. Illustrasjonsfoto
Ny form for angrep
Tofaktorautentisering (2FA) har blitt en standard sikkerhetsfunksjon innen nettsikkerhet. Det krever at brukere bekrefter identiteten sin med et andre autentiseringstrinn, vanligvis et engangspassord (OTP) sendt via tekstmelding, e-post eller autentiseringsapp. Dette ekstra sikkerhetslaget er ment å beskytte en brukers konto selv om passordet deres blir stjålet.
Selv om 2FA er bredt tatt i bruk av mange nettsteder og kreves av organisasjoner, har Kasperskys nettsikkerhetseksperter nylig oppdaget phishing-angrep som brukes av nettkriminelle for å omgå 2FA.
Følgelig har cyberangripere gått over til en mer sofistikert form for cyberangrep, ved å kombinere phishing med automatiserte OTP-roboter for å lure brukere og få uautorisert tilgang til kontoene deres. Mer spesifikt lurer svindlere brukere til å avsløre disse OTP-ene for å la dem omgå 2FA-beskyttelsestiltak.
Nettkriminelle kombinerer phishing med automatiserte OTP-roboter for å lure brukere og få uautorisert tilgang til kontoene deres. Illustrasjonsfoto
Selv OTP-boter, et sofistikert verktøy, brukes av svindlere til å avlytte OTP-koder gjennom sosialtekniske angrep. Angripere prøver ofte å stjele ofrenes påloggingsinformasjon ved hjelp av metoder som phishing eller utnyttelse av datasårbarheter. Deretter logger de seg på offerets konto, noe som utløser sending av OTP-koder til offerets telefon.
Deretter vil OTP-boten automatisk ringe offeret, utgi seg for å være en ansatt i en pålitelig organisasjon, ved hjelp av et forhåndsprogrammert samtaleskript for å overbevise offeret om å avsløre OTP-koden. Til slutt mottar angriperen OTP-koden gjennom boten og bruker den til å få ulovlig tilgang til offerets konto.
Svindlere foretrekker ofte taleanrop fremfor tekstmeldinger fordi ofrene har en tendens til å reagere raskere på denne metoden. Følgelig vil engangskoderoboter simulere tonen og hvor raskt et menneskelig anrop er for å skape en følelse av tillit og overtalelse.
Svindlere kontrollerer OTP-boter gjennom dedikerte nettbaserte dashbord eller meldingsplattformer som Telegram. Disse botene kommer også med ulike funksjoner og abonnementsplaner, noe som gjør det enklere for angripere å handle. Angripere kan tilpasse botens funksjoner for å utgi seg for å være organisasjoner, bruke flere språk og til og med velge en mannlig eller kvinnelig stemme. Avanserte alternativer inkluderer forfalskning av telefonnummer, som får innringerens telefonnummer til å se ut som om det er fra en legitim organisasjon for å lure offeret på en sofistikert måte.
Jo mer teknologien utvikler seg, desto høyere er kravet til kontobeskyttelse. Illustrasjonsfoto
For å bruke en OTP-bot må svindleren først stjele offerets påloggingsinformasjon. De bruker ofte phishing-nettsteder som er utformet for å se akkurat ut som legitime påloggingssider for banker, e-posttjenester eller andre nettkontoer. Når offeret oppgir brukernavn og passord, samler svindleren automatisk inn denne informasjonen umiddelbart (i sanntid).
Mellom 1. mars og 31. mai 2024 forhindret Kasperskys sikkerhetsløsninger 653 088 besøk til nettsteder opprettet av phishing-sett rettet mot banker. Data stjålet fra disse nettstedene brukes ofte i OTP-botangrep. I samme periode oppdaget eksperter 4721 phishing-nettsteder opprettet av settene for å omgå sanntids tofaktorautentisering.
Ikke lag vanlige passord.
Olga Svistunova, sikkerhetsekspert hos Kaspersky, kommenterte: «Sosialtekniske angrep regnes som ekstremt sofistikerte svindelmetoder, spesielt med fremveksten av OTP-boter med muligheten til å simulere anrop fra servicerepresentanter på legitim måte. For å være årvåken er det viktig å opprettholde årvåkenhet og overholde sikkerhetstiltak.»
Hackere trenger bare å bruke smarte prediksjonsalgoritmer for å enkelt finne ut passord. Illustrasjonsbilde
Fordi analysen av 193 millioner passord utført av Kaspersky-eksperter ved hjelp av smarte gjetningsalgoritmer i begynnelsen av juni, også er passord som har blitt kompromittert og solgt på det mørke nettet av informasjonstyver, viser at 45 % (tilsvarende 87 millioner passord) kan knekkes i løpet av et minutt; bare 23 % (tilsvarende 44 millioner) av passordkombinasjonene anses som sterke nok til å motstå angrep, og det vil ta mer enn et år å knekke disse passordene. Imidlertid kan de fleste av de gjenværende passordene fortsatt knekkes fra 1 time til 1 måned.
I tillegg avslørte cybersikkerhetseksperter de mest brukte tegnkombinasjonene når brukere setter opp passord, som for eksempel: Navn: «ahmed», «nguyen», «kumar», «kevin», «daniel»; populære ord: «forever», «love», «google», «hacker», «gamer»; standardpassord: «password», «qwerty12345», «admin», «12345», «team».
Analysen fant at bare 19 % av passordene inneholdt en sterk passordkombinasjon, inkludert et ord som ikke er fra ordboken, både store og små bokstaver, samt tall og symboler. Samtidig fant studien også at 39 % av disse sterke passordene fortsatt kunne gjettes av smarte algoritmer på under en time.
Interessant nok trenger ikke angripere spesialisert kunnskap eller avansert utstyr for å knekke passord. For eksempel kan en dedikert bærbar prosessor nøyaktig brute force en passordkombinasjon av åtte små bokstaver eller tall på bare 7 minutter. Et integrert grafikkort kan gjøre det samme på 17 sekunder. I tillegg har smarte passordgjettingsalgoritmer en tendens til å erstatte tegn ("e" for "3", "1" for "!" eller "a" for "@") og vanlige strenger ("qwerty", "12345", "asdfg").
Du bør bruke passord med tilfeldige tegnstrenger for å gjøre det vanskelig for hackere å gjette. Illustrasjonsbilde
«Ubevisst har folk en tendens til å velge veldig enkle passord, ofte ved å bruke ord i ordboken på morsmålet sitt, som navn og tall ... Selv sterke passordkombinasjoner avviker sjelden fra denne trenden, så de er fullstendig forutsigbare av algoritmer», sa Yuliya Novikova, leder for Digital Footprint Intelligence hos Kaspersky.
Derfor er den mest pålitelige løsningen å generere et helt tilfeldig passord ved hjelp av moderne og pålitelige passordbehandlere. Slike applikasjoner kan lagre store mengder data sikkert, og gir omfattende og sterk beskyttelse av brukerinformasjon.
For å øke styrken på passord kan brukere følge disse enkle tipsene: Bruk nettverkssikkerhetsprogramvare for å administrere passord; bruk forskjellige passord for forskjellige tjenester. På denne måten, selv om en av kontoene dine blir hacket, er de andre fortsatt trygge; passordfraser hjelper brukere med å gjenopprette kontoer når de glemmer passordene sine, det er tryggere å bruke mindre vanlige ord. I tillegg kan de bruke en onlinetjeneste for å sjekke styrken på passordene sine.
Unngå å bruke personlig informasjon, som bursdager, familiemedlemmers navn, kjæledyrnavn eller kallenavn, som passord. Dette er ofte det første angripere prøver når de prøver å knekke et passord.
Kilde
Kommentar (0)