Tvåfaktorsautentisering (2FA) är inte längre idiotsäker säkerhet. Illustrationsfoto
Ny form av attack
Tvåfaktorsautentisering (2FA) har blivit en standard säkerhetsfunktion inom cybersäkerhet. Det kräver att användare verifierar sin identitet med ett andra autentiseringssteg, vanligtvis ett engångslösenord (OTP) som skickas via sms, e-post eller autentiseringsapp. Detta extra säkerhetslager är avsett att skydda en användares konto även om deras lösenord blir stulet.
Även om 2FA är allmänt implementerat av många webbplatser och krävs av organisationer, har Kasperskys cybersäkerhetsexperter nyligen upptäckt nätfiskeattacker som används av cyberbrottslingar för att kringgå 2FA.
Följaktligen har cyberangripare gått över till en mer sofistikerad form av cyberattack, genom att kombinera nätfiske med automatiserade OTP-robotar för att lura användare och få obehörig åtkomst till deras konton. Mer specifikt lurar bedragare användare att avslöja dessa OTP:er för att låta dem kringgå 2FA-skyddsåtgärder.
Cyberbrottslingar kombinerar nätfiske med automatiserade OTP-robotar för att lura användare och få obehörig åtkomst till deras konton. Illustrationsfoto
Även OTP-botar, ett sofistikerat verktyg, används av bedragare för att avlyssna OTP-koder genom social engineering-attacker. Angripare försöker ofta stjäla offrens inloggningsuppgifter genom metoder som nätfiske eller genom att utnyttja datasårbarheter. De loggar sedan in på offrets konto, vilket utlöser att OTP-koder skickas till offrets telefon.
Därefter ringer engångskoden automatiskt upp offret och utger sig för att vara anställd på en betrodd organisation med hjälp av ett förprogrammerat konversationsskript för att övertyga offret att avslöja engångskoden. Slutligen får angriparen engångskoden via boten och använder den för att olagligt komma åt offrets konto.
Bedragare föredrar ofta röstsamtal framför textmeddelanden eftersom offren tenderar att svara snabbare på den här metoden. Följaktligen simulerar engångslösenordsrobotar tonen och brådskan i ett mänskligt samtal för att skapa en känsla av förtroende och övertalning.
Bedragare kontrollerar OTP-botar via dedikerade online-dashboards eller meddelandeplattformar som Telegram. Dessa botar har också olika funktioner och prenumerationsplaner, vilket gör det enklare för angripare att agera. Angripare kan anpassa botens funktioner för att utge sig för att vara organisationer, använda flera språk och till och med välja en manlig eller kvinnlig röstton. Avancerade alternativ inkluderar telefonnummerförfalskning, vilket gör att uppringarens telefonnummer ser ut att komma från en legitim organisation för att lura offret på ett sofistikerat sätt.
Ju mer tekniken utvecklas, desto högre krav på kontoskydd. Illustrationsfoto
För att använda en OTP-bot måste bedragaren först stjäla offrets inloggningsuppgifter. De använder ofta nätfiskewebbplatser som är utformade för att se exakt ut som legitima inloggningssidor för banker, e-posttjänster eller andra onlinekonton. När offret anger sitt användarnamn och lösenord samlar bedragaren automatiskt in denna information direkt (i realtid).
Mellan den 1 mars och den 31 maj 2024 förhindrade Kasperskys säkerhetslösningar 653 088 besök på webbplatser som skapats av nätfiskepaket riktade mot banker. Data som stulits från dessa webbplatser används ofta i OTP-botattacker. Under samma period upptäckte experter 4 721 nätfiskewebbplatser som skapats av paketen för att kringgå tvåfaktorsautentisering i realtid.
Skapa inte vanliga lösenord.
Olga Svistunova, säkerhetsexpert på Kaspersky, kommenterade: ”Social engineering-attacker anses vara extremt sofistikerade bedrägerimetoder, särskilt med framväxten av OTP-botar med förmågan att legitimt simulera samtal från servicerepresentanter. För att vara vaksam är det viktigt att upprätthålla vaksamhet och följa säkerhetsåtgärder.”
Hackare behöver bara använda smarta förutsägelsealgoritmer för att enkelt ta reda på lösenord. Illustrationsfoto
Eftersom analysen av 193 miljoner lösenord som Kaspersky-experter utförde med hjälp av smarta gissningsalgoritmer i början av juni, även är lösenord som har komprometterats och sålts på darknet av informationstjuvar, visar det sig att 45 % (motsvarande 87 miljoner lösenord) kan knäckas inom en minut; endast 23 % (motsvarande 44 miljoner) av lösenordskombinationerna anses vara tillräckligt starka för att motstå attacker och det tar mer än ett år att knäcka dessa lösenord. De flesta av de återstående lösenorden kan dock fortfarande knäckas från 1 timme till 1 månad.
Dessutom avslöjade cybersäkerhetsexperter de vanligaste teckenkombinationerna när användare skapar lösenord, såsom: Namn: "ahmed", "nguyen", "kumar", "kevin", "daniel"; populära ord: "forever", "love", "google", "hacker", "gamer"; standardlösenord: "password", "qwerty12345", "admin", "12345", "team".
Analysen visade att endast 19 % av lösenorden innehöll en stark lösenordskombination, inklusive ett ord som inte finns i ordboken, både stora och små bokstäver, samt siffror och symboler. Samtidigt fann studien att 39 % av dessa starka lösenord fortfarande kunde gissas av smarta algoritmer på mindre än en timme.
Intressant nog behöver angripare inte specialiserad kunskap eller avancerad utrustning för att knäcka lösenord. Till exempel kan en dedikerad bärbar datorprocessor med precision brute force-tvinga fram en lösenordskombination av åtta små bokstäver eller siffror på bara 7 minuter. Ett integrerat grafikkort kan göra detsamma på 17 sekunder. Dessutom tenderar smarta lösenordsgissningsalgoritmer att ersätta tecken ("e" med "3", "1" med "!" eller "a" med "@") och vanliga strängar ("qwerty", "12345", "asdfg").
Du bör använda lösenord med slumpmässiga teckensträngar för att göra det svårt för hackare att gissa. Illustrationsfoto
”Omedvetet tenderar folk att välja väldigt enkla lösenord, ofta med hjälp av ordboksord på sitt modersmål, såsom namn och siffror... Även starka lösenordskombinationer avviker sällan från denna trend, så de är helt förutsägbara av algoritmer”, säger Yuliya Novikova, chef för Digital Footprint Intelligence på Kaspersky.
Därför är den mest tillförlitliga lösningen att generera ett helt slumpmässigt lösenord med hjälp av moderna och pålitliga lösenordshanterare. Sådana applikationer kan lagra stora mängder data säkert och ge ett omfattande och starkt skydd för användarinformation.
För att öka lösenordens styrka kan användare tillämpa följande enkla tips: Använd nätverkssäkerhetsprogram för att hantera lösenord; använd olika lösenord för olika tjänster. På så sätt är de andra fortfarande säkra även om ett av dina konton hackas; lösenfraser hjälper användare att återställa konton när de glömmer sina lösenord; det är säkrare att använda mindre vanliga ord. Dessutom kan de använda en onlinetjänst för att kontrollera styrkan på sina lösenord.
Undvik att använda personlig information, såsom födelsedagar, familjemedlemmars namn, husdjursnamn eller smeknamn, som lösenord. Det här är ofta det första angripare försöker sig på när de försöker knäcka ett lösenord.
Källa
![[Foto] Premiärminister Pham Minh Chinh leder det andra mötet i styrkommittén för privat ekonomisk utveckling.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/01/1762006716873_dsc-9145-jpg.webp)
Kommentar (0)