Nowe formy ataków phishingowych stają się coraz powszechniejsze
Uwierzytelnianie dwuskładnikowe stało się standardową funkcją bezpieczeństwa w cyberbezpieczeństwie. Wymaga od użytkowników potwierdzenia tożsamości za pomocą drugiego kroku uwierzytelniania, zazwyczaj jednorazowego hasła (OTP) wysyłanego SMS-em, e-mailem lub za pośrednictwem aplikacji uwierzytelniającej.
Ta dodatkowa warstwa zabezpieczeń ma chronić konta użytkowników nawet w przypadku kradzieży haseł. Oszuści stosują jednak wyrafinowane metody, aby nakłonić użytkowników do ujawnienia tych haseł jednorazowych, umożliwiając im ominięcie zabezpieczeń 2FA za pośrednictwem botów OTP.
Bot OTP to zaawansowane narzędzie wykorzystywane przez oszustów do przechwytywania kodów OTP za pomocą ataków socjotechnicznych. Atakujący często próbują ukraść dane logowania ofiar, stosując metody takie jak phishing lub wykorzystując luki w zabezpieczeniach danych, aby wykraść informacje.
Następnie logują się na konto ofiary, co powoduje wysłanie kodu jednorazowego hasła (OTP) na jej telefon. Następnie bot OTP automatycznie dzwoni do ofiary, podszywając się pod pracownika zaufanej organizacji i wykorzystując wstępnie zaprogramowany skrypt rozmowy, aby przekonać ofiarę do ujawnienia kodu jednorazowego hasła (OTP). Na koniec atakujący otrzymuje kod jednorazowy za pośrednictwem bota i wykorzystuje go do nielegalnego uzyskania dostępu do konta ofiary.
Oszuści preferują połączenia głosowe od wiadomości tekstowych, ponieważ ofiary reagują szybciej na tę metodę. Boty OTP naśladują ton i pilność rozmowy telefonicznej, aby wzbudzić poczucie zaufania i przekonania.
Aby użyć bota OTP, oszust musi najpierw ukraść dane logowania ofiary. Często korzystają z witryn phishingowych, które wyglądają jak legalne strony logowania do banków, usług e-mail lub innych kont online. Gdy ofiara wprowadzi swoją nazwę użytkownika i hasło, oszust automatycznie i natychmiast (w czasie rzeczywistym) zbiera te informacje.
Według statystyk firmy Kaspersky, w okresie od 1 marca do 31 maja 2024 r. jej rozwiązania zabezpieczające zapobiegły 653 088 wizytom na stronach internetowych utworzonych przy użyciu zestawów narzędzi phishingowych wymierzonych w banki.
Dane skradzione z tych stron są często wykorzystywane w atakach botami OTP. W tym samym okresie firma zajmująca się cyberbezpieczeństwem wykryła również 4721 stron phishingowych stworzonych przy użyciu zestawów narzędzi zaprojektowanych do omijania uwierzytelniania dwuskładnikowego w czasie rzeczywistym.
Rozwiązanie
Chociaż uwierzytelnianie dwuskładnikowe (2FA) jest ważnym środkiem bezpieczeństwa, nie jest to panaceum. Aby chronić użytkowników przed tymi wyrafinowanymi oszustwami, eksperci ds. cyberbezpieczeństwa zalecają:
- Unikaj klikania linków w podejrzanych wiadomościach e-mail. Jeśli musisz zalogować się na konto w dowolnej organizacji, wpisz dokładny adres strony internetowej lub użyj zakładki.
- Upewnij się, że adres strony internetowej jest poprawny i nie zawiera literówek. Możesz skorzystać z narzędzia Whois, aby sprawdzić dane rejestracyjne strony. Jeśli strona została zarejestrowana niedawno, prawdopodobnie jest to witryna oszustwa.
- Nigdy nie podawaj kodów jednorazowych przez telefon, niezależnie od tego, jak przekonująco brzmi osoba dzwoniąca. Banki i inne renomowane organizacje nigdy nie proszą użytkowników o odczytanie ani wpisanie kodów jednorazowych przez telefon w celu weryfikacji tożsamości.
Source: https://laodong.vn/cong-nghe/canh-bao-ve-cac-hinh-thuc-tan-cong-gia-mao-de-vuot-xac-thuc-2-yeu-to-1351735.ldo
![[Zdjęcie] Premier Pham Minh Chinh bierze udział w piątej ceremonii wręczenia Narodowych Nagród Prasowych na temat zapobiegania korupcji, marnotrawstwa i negatywności oraz walki z nimi](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/31/1761881588160_dsc-8359-jpg.webp)
![[Zdjęcie] Da Nang: Woda stopniowo opada, lokalne władze korzystają z oczyszczania](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/31/1761897188943_ndo_tr_2-jpg.webp)
Komentarz (0)