Теперь боты звонят на фишинг для получения кодов двухфакторной аутентификации

204

Идея состоит в том, что в дополнение к предоставлению имени пользователя и пароля пользователь должен предоставить дополнительный код или токен, предоставленный веб-сайтом или приложением. Этот код отправляется в виде одноразового пароля (OTP) через SMS или токен, полученный из мобильного приложения, такого как Google/Microsoft Authenticator.

Обычно они действительны в течение короткого времени, прежде чем потребуется ввести новый токен. Коды, действительные в течение короткого времени, также известны как OTP на основе времени (TOTP) и обычно используются при входе на веб-сайты и в приложения или для подтверждения банковской или финансовой транзакции.

Идея токенов 2FA и OTP заключается в том, что даже если пароль пользователя взломан или украден, злоумышленник все равно не сможет получить доступ к учетной записи пользователя без второго фактора для аутентификации входа. Этот второй фактор обычно получается из приложения для проверки подлинности на мобильном или настольном устройстве владельца учетной записи.

“);



Однако в последнее время мошенники и мошенники начали использовать технику телефонного фишинга, чтобы звонить своим жертвам. Он использует специализированных ботов, продаваемых на подпольных сайтах.

Этот метод представляет собой вызов проверки безопасности с веб-сайта или приложения, которое использует потенциальная жертва. Это обманом заставляет их предоставить фактический код OTP или 2FA, отправленный веб-сайтом или приложением. Это происходит сразу после того, как мошенник входит в систему и пытается совершить покупку или финансовую транзакцию через этот портал.

Как работает фишинг 2FA

Новейшие специализированные боты позволяют мошенникам намного проще и быстрее обмануть свои цели, заставив их предоставить свои коды аутентификации или одноразовые пароли. Опять же, веб-сайт или приложение, которое использует жертва, отправляет эти коды. Используя огромные списки взломанных и просочившихся учетных данных для входа в систему и личных данных, доступных для продажи на теневых подпольных сайтах, найденных в даркнете, мошенники сначала сопоставляют эти личные данные с именем и номером мобильного телефона жертвы.

Затем они активируют бота, чтобы автоматически звонить жертве с поддельного идентификационного номера вызывающего абонента, который якобы принадлежит банку жертвы или платежной службе, такой как Stripe или PayPal.

Эти фишинговые боты звучат так же, как боты службы поддержки клиентов с роботизированным голосом, которых мы слышим, когда звоним в наш банк или другие компании, с которыми мы часто имеем дело. Фишинг-бот сначала вводит ранее полученные учетные данные для входа в учетную запись жертвы в банке или на сайте обработки платежей.

Затем банк или платежный сервис немедленно отправляет СМС-ОТП на номер телефона жертвы, который мошенник уже получил в результате предыдущих взломов и утечек персональных данных.

Затем бот звонит жертве и воспроизводит законно звучащее сообщение о том, что владелец учетной записи должен пройти «проверку безопасности», введя одноразовый пароль, который только что отправил банк жертвы.

Если цель введена в заблуждение и вводит легитимный OTP из текстового сообщения банка, вызванного попыткой входа в систему бота, мошенник успешно входит в систему, захватывает учетную запись и быстро истощает ее. Это происходит быстро, прежде чем у жертвы появляется возможность предупредить банк. Если жертва использует приложение для аутентификации, а не получает коды по SMS, бот просит жертву ввести код, указанный в этом приложении.

Как предотвратить фишинг 2FA

Хотя коды 2FA помогли значительно снизить количество случаев мошенничества и захвата учетных записей, они уязвимы для перехвата специализированными фишинговыми ботами, которые в настоящее время продаются на подпольных сайтах.

Когда жертве звонят якобы из банка, ее можно легко обманом заставить сообщить код 2FA, отправленный банком или другим веб-сайтом. Мало шансов остановить преступление, когда оно уже начато.

В то время как некоторые предприятия теперь используют службы push-уведомлений, такие как Okta, для проверки попыток входа в систему, большинство банков и других предприятий по-прежнему их не используют. И даже если они используют такие приложения для подтверждения входа в систему, жертвы все равно могут быть обмануты, если они не знают о рекомендуемых методах онлайн-безопасности.

В результате фишинговые роботы обманывают жертву, которая одобряет push-уведомление, полученное от приложения безопасности на своих мобильных устройствах. Все это вызвано попыткой мошенника авторизоваться в банке или на веб-сайте или в приложении другой компании.

Единственный надежный способ предотвратить фишинговых ботов 2FA — это внедрить специальное решение для управления ботами, которое точно обнаруживает ботов в режиме реального времени на веб-сайте или в приложении. Это предотвращает первоначальную попытку входа в систему бота мошенника.

Специально разработанное решение для защиты от ботов анализирует сотни точек данных и отличает бота от человека. Он также использует машинное обучение и искусственный интеллект для определения намерений каждого посетителя. Сюда входят фишинговые боты, которые вводят правильные учетные данные для входа в систему, и другие типы ботов, запрограммированные для выполнения различных типов вредоносных атак.

Следующий шаг

Обратитесь к экспертам по кибербезопасности в такой компании, как моя. Они поставили перед собой задачу защитить клиентов от автоматизированных угроз, таких как боты. Они обеспечат комплексную защиту веб-приложений, мобильных приложений и API. Также попробуйте онлайн оценки чтобы узнать, насколько на самом деле защищена ваша организация от вредоносных ботов.

Ниту Сингх, Radware
Читать полную новость на сайте