Advarsel om phishing-angrep for å omgå 2-faktor-autentisering

Nye former for phishing-angrep på fremmarsj

Tofaktorautentisering har blitt en standard sikkerhetsfunksjon innen cybersikkerhet. Det krever at brukere bekrefter identiteten sin med et andre autentiseringstrinn, vanligvis et engangspassord (OTP) sendt via tekstmelding, e-post eller autentiseringsapp.

Dette ekstra sikkerhetslaget er ment å beskytte brukernes kontoer selv om passordene deres blir stjålet. Svindlere har imidlertid brukt sofistikerte metoder for å lure brukere til å avsløre disse engangskodene, slik at de kan omgå 2FA-beskyttelse via engangskoderoboter.

OTP Bot er et sofistikert verktøy som brukes av svindlere til å fange opp OTP-koder gjennom sosialtekniske angrep. Angripere prøver ofte å stjele ofrenes påloggingsinformasjon ved hjelp av metoder som phishing eller ved å utnytte datasårbarheter for å stjele informasjon.

Deretter logger de seg på offerets konto, noe som utløser at en engangskode sendes til offerets telefon. Deretter ringer engangskode-boten automatisk offeret og utgir seg for å være en ansatt i en pålitelig organisasjon ved hjelp av et forhåndsprogrammert samtaleskript for å overbevise offeret om å avsløre engangskoden. Til slutt mottar angriperen engangskoden gjennom boten og bruker den til å få ulovlig tilgang til offerets konto.

Svindlere foretrekker taleanrop fremfor tekstmeldinger fordi ofrene har en tendens til å reagere raskere på denne metoden. OTP-roboter etterligner tonen og hvor viktig et menneskelig anrop er for å skape en følelse av tillit og overtalelse.

For å bruke en OTP-bot må svindleren først stjele offerets påloggingsinformasjon. De bruker ofte phishing-nettsteder som er utformet for å se akkurat ut som legitime påloggingssider for banker, e-posttjenester eller andre nettkontoer. Når offeret oppgir brukernavn og passord, samler svindleren automatisk inn denne informasjonen umiddelbart (i sanntid).

Ifølge Kasperskys statistikk forhindret sikkerhetsløsningene deres 653 088 besøk på nettsteder opprettet av phishing-verktøysett rettet mot banker fra 1. mars til 31. mai 2024.

Data stjålet fra disse nettstedene brukes ofte i OTP-botangrep. I samme periode oppdaget cybersikkerhetsfirmaet også 4721 phishing-nettsteder laget av verktøysett som var designet for å omgå tofaktorautentisering i sanntid.

Løsning

Selv om 2FA er et viktig sikkerhetstiltak, er det ikke et universalmiddel. For å beskytte brukere mot disse sofistikerte svindelforsøkene anbefaler cybersikkerhetseksperter:

– Unngå å klikke på lenker i mistenkelige e-postmeldinger. Hvis du trenger å logge på kontoen din hos en organisasjon, skriv inn den nøyaktige nettadressen eller bruk et bokmerke.

– Sørg for at nettstedsadressen er riktig og ikke inneholder skrivefeil. Du kan bruke Whois-verktøyet til å sjekke registreringsinformasjonen for nettstedet. Hvis nettstedet har blitt registrert nylig, er det sannsynligvis et svindelnettsted.

– Oppgi aldri engangskoder over telefonen, uansett hvor overbevisende den som ringer virker. Banker og andre anerkjente organisasjoner ber aldri brukere om å lese eller taste inn engangskoder over telefonen for å bekrefte identiteten sin.