http://Top.Mail.Ru
Двухфакторная аутентификация не панацея: как мошенники взламывают аккаунты через СМС-коды | Север-Пресс

0

0

Кибербезопасность: хакеры нашли способ обойти двухфакторную аутентификацию

Читать «Север-Пресс» в

Двухфакторная аутентификация при входе в аккаунты на разных ресурсах уже не спасает. Мошенники научились ее обходить. Для этого они используют одноразовые коды. К чему это может привести, как обезопасить свои данные и что делать при взломе аккаунта, рассказали «Север-Прессу» специалисты по кибербезопасности.

Как хакеры обходят двухфакторную аутентификацию

Технически с помощью СМС-бомбинга можно взломать любой аккаунт, подключенный к слабой двухфакторной аутентификации. Под слабой 2FA подразумевают короткие временные коды или их ограниченный набор. Например, когда требуется ввести последние цифры звонящего телефонного номера.

Это скорее уязвимость конкретных сервисов, а не любой 2FA. Под удар в первую очередь попадают сервисы, которые позволяют входить в аккаунт без пароля с помощью кода.

В теории это работает так:

  1. Злоумышленник узнает номер телефона или email жертвы.
  2. Запрашивает код для входа в аккаунт.
  3. Вводит произвольный код.
  4. Повторный запрос кода при неудаче и ввод того же самого произвольного кода.

Если кодом для входа служат последние цифры звонящего номера, злоумышленник вовсе может запросить такой код для себя, а далее пытаться вводить его при входе в чужие аккаунты. Ведь однажды с того же номера могут позвонить уже самой жертве.

«Обычно при подобной атаке пользователь быстро узнает, что его пытаются взломать. Так как ему начинают массово приходить коды для входа в аккаунт».

Денис Чернов,

старший инженер технического расследования центра исследования киберугроз Solar 4RAYS ГК «‎Солар»

Как сохранить аккаунт, если двухфакторную аутентификацию взломали

Если есть подозрения, что аккаунт уже скомпрометирован, нужно незамедлительно принять меры: заблокировать профиль при наличии такой возможности, сменить пароль на более сложный, проанализировать историю входов и действий в аккаунте и завершить неизвестные сеансы. Некоторые сервисы позволяют настроить отправку push или СМС при успешном входе в аккаунт — так выше шансы вовремя среагировать на взлом.

Фото: Golden Dayz / Shutterstock / Fotodom
Фото: Golden Dayz / Shutterstock / Fotodom

В первую очередь необходимо зайти в настройки безопасности и проверить раздел «Сторонние приложения с доступом к аккаунту». Все незнакомые программы, особенно те, что имеют разрешения на чтение почты, Drive и контактов, нужно немедленно удалить. Затем в разделе «Действия по обеспечению безопасности» следует принудительно выйти из всех устройств и активных сеансов. Это аннулирует украденные токены доступа.

«Пользователям Chrome или других браузеров на движке Chromium стоит проверить параметры запуска: программа не должна запускаться автоматически со странными флагами вроде --remote-debugging-port».

Николай Долгов,

эксперт по кибербезопасности Angara Security

Поскольку атака требует предварительного доступа к устройству, простого отзыва токенов может быть недостаточно. Важно сменить пароль, провести полную проверку компьютера антивирусом, очистить временные файлы браузера и перезагрузить устройство. Это поможет закрыть скрытые процессы отладки.

Как часто нужно менять пароли

Смена пароля часто не разрывает активную сессию, и украденный токен продолжает работать. Поэтому фокусироваться нужно на контроле самого устройства, подчеркивают специалисты по кибербезопасности.

«Согласно исследованию «Солара», 60% респондентов меняют пароли реже одного раза в год, а 21% — не меняют его совсем. Кроме того, 47% опрошенных используют один пароль для разных учетных записей».

Денис Чернов,

старший инженер технического расследования центра исследования киберугроз Solar 4RAYS ГК «‎Солар»

Менять пароль раз в неделю нет смысла — частая смена без необходимости приведет к тому, что пользователи будут выбирать более простые комбинации или записывать их в доступных местах, фактически снижая уровень защиты. Лучше создавать сложные пароли и не повторять их на разных площадках, а для генерации и хранения целесообразно использовать менеджеры паролей.

Фото: Vitalii Vodolazskyi / Shutterstock / Fotodom
Фото: Vitalii Vodolazskyi / Shutterstock / Fotodom

Какие есть способы защиты от взлома

Базовая гигиена важнее всего: не оставляйте открытые банковские или корпоративные вкладки без присмотра и блокируйте экран компьютера (Win + L), когда отходите от рабочего места.

Дополнительно нужно регулярно проводить ревизию сторонних приложений в настройках: удалять неиспользуемые и внимательно следить за тем, какие права запрашивают новые плагины. Если браузер начинает тормозить без видимых причин или самопроизвольно перезапускается, это повод проверить диспетчер задач на наличие процессов с флагами удаленной отладки.

На корпоративном уровне защита строится на мониторинге нетипичного трафика и параметров запуска браузеров на рабочих станциях сотрудников, так как обычный пользователь эти технические признаки заметить не сможет.

Чем опасен такой взлом для пользователей

Последствия для обычного пользователя практически идентичны корпоративным. В первую очередь это тотальная компрометация цифровой личности: доступ к почте означает контроль над облачным хранилищем, календарем и контактами. Злоумышленники могут получить доступ к персональным данным, которые можно будет использовать для шантажа либо распространения в Сети.

«Часто переписка содержит паспортные данные, адреса и финансовые отчеты. Злоумышленники могут использовать эти данные для вымогательства денег под угрозой публикации личной информации. Имея доступ к контактам, преступники пишут друзьям и родным жертвы с просьбой срочно занять деньги, используя реальный и вызывающий доверие почтовый ящик».

Николай Долгов,

эксперт по кибербезопасности Angara Security

Нередко сам по себе аккаунт — лишь промежуточный этап: через него преступники пытаются добраться до других сервисов, например, к привязанным банковским приложениям или рабочей почте, либо используют учетную запись как часть более масштабных мошеннических схем.

Захватив почту, хакеры сбрасывают пароли и получают доступ к профилям на «Госуслугах», в социальных сетях и личных кабинетах магазинов. Чистый аккаунт преступники используют как плацдарм для рассылки спама. Заблокированный за такие действия профиль крайне сложно восстановить без платной техподдержки или юридических процедур.

В России на фоне ажиотажа с бензином активизировались интернет-мошенники. Аферисты создают поддельные сайты, которые похожи на страницы крупных сетей АЗС, и получают доступ к личным аккаунтам.

Читайте «Север-Пресс» в мессенджере «Макс».

0

0