Двофакторна автентифікація (2FA) більше не є надійним засобом безпеки. Ілюстративне фото
Нова форма атаки
Двофакторна автентифікація (2FA) стала стандартною функцією безпеки в кібербезпеці. Вона вимагає від користувачів підтвердження своєї особи за допомогою другого етапу автентифікації, зазвичай одноразового пароля (OTP), надісланого через текстове повідомлення, електронну пошту або додаток для автентифікації. Цей додатковий рівень безпеки призначений для захисту облікового запису користувача, навіть якщо його пароль викрадено.
Хоча двофакторна аутентифікація (2FA) широко використовується багатьма веб-сайтами та вимагається організаціями, нещодавно експерти Kaspersky з кібербезпеки виявили фішингові атаки, які використовуються кіберзлочинцями для обходу двофакторної аутентифікації.
Відповідно, кіберзлочинці перейшли до більш витонченої форми кібератак, поєднуючи фішинг з автоматизованими ботами для одноразових паролів, щоб обдурити користувачів та отримати несанкціонований доступ до їхніх облікових записів. Зокрема, шахраї обманом змушують користувачів розкрити ці одноразові паролі, щоб вони могли обійти заходи захисту 2FA.
Кіберзлочинці поєднують фішинг з автоматизованими ботами для одноразових паролів, щоб обдурити користувачів та отримати несанкціонований доступ до їхніх облікових записів. Ілюстративне фото.
Навіть боти OTP, складний інструмент, використовуються шахраями для перехоплення кодів OTP за допомогою атак соціальної інженерії. Зловмисники часто намагаються викрасти облікові дані жертв за допомогою таких методів, як фішинг або використання вразливостей даних. Потім вони входять до облікового запису жертви, що ініціює надсилання кодів OTP на телефон жертви.
Далі бот OTP автоматично телефонує жертві, видаючи себе за співробітника довіреної організації, використовуючи заздалегідь запрограмований сценарій розмови, щоб переконати жертву розкрити код OTP. Зрештою, зловмисник отримує код OTP через бота та використовує його для незаконного доступу до облікового запису жертви.
Шахраї часто надають перевагу голосовим дзвінкам над текстовими повідомленнями, оскільки жертви, як правило, швидше реагують на цей метод. Відповідно, боти OTP імітують тон і терміновість людського дзвінка, щоб створити відчуття довіри та переконання.
Шахраї контролюють ботів з одноразовими паролями через спеціальні онлайн-панелі керування або платформи обміну повідомленнями, такі як Telegram. Ці боти також мають різні функції та плани підписки, що спрощує дії зловмисників. Зловмисники можуть налаштувати функції бота, щоб видавати себе за організації, використовувати кілька мов і навіть вибирати чоловічий або жіночий тон голосу. Розширені опції включають підробку номера телефону, яка створює враження, що номер телефону абонента належить законній організації, щоб витончено обдурити жертву.
Чим більше розвиваються технології, тим вищі вимоги до захисту облікового запису. Ілюстративне фото
Щоб скористатися ботом з одноразовим паролем, шахраю спочатку потрібно викрасти облікові дані жертви. Вони часто використовують фішингові веб-сайти, розроблені так, щоб виглядати точнісінько як справжні сторінки входу для банків, поштових служб чи інших онлайн-акаунтів. Коли жертва вводить своє ім'я користувача та пароль, шахрай автоматично збирає цю інформацію миттєво (у режимі реального часу).
Між 1 березня та 31 травня 2024 року рішення безпеки Kaspersky запобігли 653 088 відвідуванням веб-сайтів, створених фішинговими комплектами, спрямованими на банки. Дані, викрадені з цих веб-сайтів, часто використовуються в атаках з використанням OTP-ботів. За той самий період експерти виявили 4721 фішинговий веб-сайт, створений цими комплектами для обходу двофакторної автентифікації в режимі реального часу.
Не створюйте поширені паролі.
Ольга Свистунова, експерт з безпеки в Kaspersky, прокоментувала: «Атаки соціальної інженерії вважаються надзвичайно складними методами шахрайства, особливо з появою ботів з одноразовими паролями, які здатні легітимно імітувати дзвінки від представників служби підтримки. Щоб залишатися пильними, важливо зберігати пильність та дотримуватися заходів безпеки».
Хакерам просто потрібно використовувати розумні алгоритми прогнозування, щоб легко знаходити паролі. Ілюстративне фото
Оскільки аналіз 193 мільйонів паролів, проведений експертами Kaspersky за допомогою алгоритмів розумного вгадування на початку червня, показав, що це також паролі, які були скомпрометовані та продані в даркнеті викрадачами інформації, він показує, що 45% (що еквівалентно 87 мільйонам паролів) можна успішно зламати протягом хвилини; лише 23% (що еквівалентно 44 мільйонам) комбінацій паролів вважаються достатньо надійними, щоб протистояти атакам, і злом цих паролів займе більше року. Однак більшість решти паролів все ще можна зламати від 1 години до 1 місяця.
Крім того, експерти з кібербезпеки також виявили найпоширеніші комбінації символів, які користувачі використовують для створення паролів, такі як: ім'я: «ahmed», «nguyen», «kumar», «kevin», «daniel»; популярні слова: «forever», «love», «google», «hacker», «gamer»; стандартні паролі: «password», «qwerty12345», «admin», «12345», «team».
Аналіз показав, що лише 19% паролів містили надійну комбінацію паролів, включаючи несловникове слово, як великі, так і малі літери, а також цифри та символи. Водночас дослідження також виявило, що 39% цих надійних паролів все ще можуть бути вгадані розумними алгоритмами менш ніж за годину.
Цікаво, що зловмисникам не потрібні спеціалізовані знання чи сучасне обладнання для злому паролів. Наприклад, спеціалізований процесор ноутбука може точно підібрати комбінацію пароля з восьми малих літер або цифр лише за 7 хвилин. Вбудована відеокарта може зробити те саме за 17 секунд. Крім того, розумні алгоритми підбору паролів, як правило, замінюють символи («e» на «3», «1» на «!» або «a» на «@») та поширені рядки («qwerty», «12345», «asdfg»).
Вам слід використовувати паролі з випадковими рядками символів, щоб хакерам було важко їх вгадати. Ілюстративне фото
«Підсвідомо люди схильні вибирати дуже прості паролі, часто використовуючи словникові слова рідною мовою, такі як імена та цифри... Навіть складні комбінації паролів рідко відхиляються від цієї тенденції, тому вони повністю передбачувані алгоритмами», – сказала Юлія Новікова, керівник відділу цифрової аналітики Kaspersky.
Тому найнадійнішим рішенням є генерація повністю випадкового пароля за допомогою сучасних та надійних менеджерів паролів. Такі програми можуть безпечно зберігати великі обсяги даних, забезпечуючи комплексний та надійний захист інформації користувача.
Щоб підвищити надійність паролів, користувачі можуть застосовувати такі прості поради: використовуйте програмне забезпечення для мережевої безпеки для керування паролями; використовуйте різні паролі для різних сервісів. Таким чином, навіть якщо один з ваших облікових записів буде зламано, інші залишатимуться в безпеці; парольні фрази допомагають користувачам відновити облікові записи, коли вони забувають свої паролі, безпечніше використовувати менш поширені слова. Крім того, вони можуть скористатися онлайн-сервісом для перевірки надійності своїх паролів.
Уникайте використання особистої інформації, такої як дати народження, імена членів сім'ї, клички домашніх тварин або прізвиська, як пароля. Це часто перше, що зловмисники намагаються зробити, намагаючись зламати пароль.
Джерело
![[Фото] Женьшень з гори Дан, дорогоцінний дар природи для землі Кінь Бак](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F11%2F30%2F1764493588163_ndo_br_anh-longform-jpg.webp&w=3840&q=75)
Коментар (0)