0
0
Кибербезопасность: хакеры нашли способ обойти двухфакторную аутентификацию
Двухфакторная аутентификация при входе в аккаунты на разных ресурсах уже не спасает. Мошенники научились ее обходить. Для этого они используют одноразовые коды. К чему это может привести, как обезопасить свои данные и что делать при взломе аккаунта, рассказали «Север-Прессу» специалисты по кибербезопасности.
Как хакеры обходят двухфакторную аутентификацию
Технически с помощью СМС-бомбинга можно взломать любой аккаунт, подключенный к слабой двухфакторной аутентификации. Под слабой 2FA подразумевают короткие временные коды или их ограниченный набор. Например, когда требуется ввести последние цифры звонящего телефонного номера.
Это скорее уязвимость конкретных сервисов, а не любой 2FA. Под удар в первую очередь попадают сервисы, которые позволяют входить в аккаунт без пароля с помощью кода.
В теории это работает так:
- Злоумышленник узнает номер телефона или email жертвы.
- Запрашивает код для входа в аккаунт.
- Вводит произвольный код.
- Повторный запрос кода при неудаче и ввод того же самого произвольного кода.
Если кодом для входа служат последние цифры звонящего номера, злоумышленник вовсе может запросить такой код для себя, а далее пытаться вводить его при входе в чужие аккаунты. Ведь однажды с того же номера могут позвонить уже самой жертве.
«Обычно при подобной атаке пользователь быстро узнает, что его пытаются взломать. Так как ему начинают массово приходить коды для входа в аккаунт».
Денис Чернов,
старший инженер технического расследования центра исследования киберугроз Solar 4RAYS ГК «Солар»
Как сохранить аккаунт, если двухфакторную аутентификацию взломали
Если есть подозрения, что аккаунт уже скомпрометирован, нужно незамедлительно принять меры: заблокировать профиль при наличии такой возможности, сменить пароль на более сложный, проанализировать историю входов и действий в аккаунте и завершить неизвестные сеансы. Некоторые сервисы позволяют настроить отправку push или СМС при успешном входе в аккаунт — так выше шансы вовремя среагировать на взлом.
В первую очередь необходимо зайти в настройки безопасности и проверить раздел «Сторонние приложения с доступом к аккаунту». Все незнакомые программы, особенно те, что имеют разрешения на чтение почты, Drive и контактов, нужно немедленно удалить. Затем в разделе «Действия по обеспечению безопасности» следует принудительно выйти из всех устройств и активных сеансов. Это аннулирует украденные токены доступа.
«Пользователям Chrome или других браузеров на движке Chromium стоит проверить параметры запуска: программа не должна запускаться автоматически со странными флагами вроде --remote-debugging-port».
Николай Долгов,
эксперт по кибербезопасности Angara Security
Поскольку атака требует предварительного доступа к устройству, простого отзыва токенов может быть недостаточно. Важно сменить пароль, провести полную проверку компьютера антивирусом, очистить временные файлы браузера и перезагрузить устройство. Это поможет закрыть скрытые процессы отладки.
Как часто нужно менять пароли
Смена пароля часто не разрывает активную сессию, и украденный токен продолжает работать. Поэтому фокусироваться нужно на контроле самого устройства, подчеркивают специалисты по кибербезопасности.
«Согласно исследованию «Солара», 60% респондентов меняют пароли реже одного раза в год, а 21% — не меняют его совсем. Кроме того, 47% опрошенных используют один пароль для разных учетных записей».
Денис Чернов,
старший инженер технического расследования центра исследования киберугроз Solar 4RAYS ГК «Солар»
Менять пароль раз в неделю нет смысла — частая смена без необходимости приведет к тому, что пользователи будут выбирать более простые комбинации или записывать их в доступных местах, фактически снижая уровень защиты. Лучше создавать сложные пароли и не повторять их на разных площадках, а для генерации и хранения целесообразно использовать менеджеры паролей.
Какие есть способы защиты от взлома
Базовая гигиена важнее всего: не оставляйте открытые банковские или корпоративные вкладки без присмотра и блокируйте экран компьютера (Win + L), когда отходите от рабочего места.
Дополнительно нужно регулярно проводить ревизию сторонних приложений в настройках: удалять неиспользуемые и внимательно следить за тем, какие права запрашивают новые плагины. Если браузер начинает тормозить без видимых причин или самопроизвольно перезапускается, это повод проверить диспетчер задач на наличие процессов с флагами удаленной отладки.
На корпоративном уровне защита строится на мониторинге нетипичного трафика и параметров запуска браузеров на рабочих станциях сотрудников, так как обычный пользователь эти технические признаки заметить не сможет.
Чем опасен такой взлом для пользователей
Последствия для обычного пользователя практически идентичны корпоративным. В первую очередь это тотальная компрометация цифровой личности: доступ к почте означает контроль над облачным хранилищем, календарем и контактами. Злоумышленники могут получить доступ к персональным данным, которые можно будет использовать для шантажа либо распространения в Сети.
«Часто переписка содержит паспортные данные, адреса и финансовые отчеты. Злоумышленники могут использовать эти данные для вымогательства денег под угрозой публикации личной информации. Имея доступ к контактам, преступники пишут друзьям и родным жертвы с просьбой срочно занять деньги, используя реальный и вызывающий доверие почтовый ящик».
Николай Долгов,
эксперт по кибербезопасности Angara Security
Нередко сам по себе аккаунт — лишь промежуточный этап: через него преступники пытаются добраться до других сервисов, например, к привязанным банковским приложениям или рабочей почте, либо используют учетную запись как часть более масштабных мошеннических схем.
Захватив почту, хакеры сбрасывают пароли и получают доступ к профилям на «Госуслугах», в социальных сетях и личных кабинетах магазинов. Чистый аккаунт преступники используют как плацдарм для рассылки спама. Заблокированный за такие действия профиль крайне сложно восстановить без платной техподдержки или юридических процедур.
В России на фоне ажиотажа с бензином активизировались интернет-мошенники. Аферисты создают поддельные сайты, которые похожи на страницы крупных сетей АЗС, и получают доступ к личным аккаунтам.
Читайте «Север-Пресс» в мессенджере «Макс».
0
0
Теги:
