В период с марта по май 2024 года решения «Лаборатории Касперского» обнаружили более 4700 фишинговых страниц, поддерживаемых автоматическими ботами (OTP-ботами), с целью компрометации учетных записей пользователей, защищенных двухфакторной аутентификацией (2FA).
В настоящее время различные цифровые платформы, такие как социальные сети или онлайн-банкинг, позволяют включить эту двухфакторную аутентификацию, которая заключается в проверке личности пользователя с помощью второго механизма проверки (в дополнение к обычному паролю). вы можете получить доступ к своим профилям; Обычно это одноразовый код, отправленный в текстовом сообщении, по электронной почте или через определенное приложение и представляющий собой дополнительный уровень защиты. Бот, используемый преступниками, представляет собой автоматизированное программное обеспечение, которое запрашивает этот код 2FA у жертв, используя методы социальной инженерии, чтобы обмануть их, украсть его и, таким образом, получить доступ к их учетным записям.
Как работает кибермошенничество?
Сайты фишинг Обнаруженные экспертами «Лаборатории Касперского», они имитируют официальные страницы входа в банки, почтовые сервисы и другие онлайн-платформы. Когда человек пытается получить доступ к одной из своих учетных записей с этих сайтов и вводит свое имя пользователя и пароль, киберпреступник крадет эту информацию, чтобы попытаться получить доступ с официальных платформ к профилю жертвы, которая; Если у вас активирована 2FA, вы получите код на свое мобильное устройство.
Тут же пользователю поступает звонок от бота, который выдает себя за сотрудника доверенной компании. При этом используется убедительная запись, чтобы убедить вас поделиться или ввести самостоятельно код безопасности, который вы получили на свое устройство. С помощью только что предоставленного кода и информации киберпреступник может войти в учетную запись жертвы.
Преступники предпочитают звонить, а не отправлять сообщения, поскольку это увеличивает вероятность того, что жертва быстро отреагирует. Автоматизированные боты могут имитировать тон и срочность законного звонка, делая его более убедительным; Еще одним их преимуществом является то, что ими можно управлять через онлайн-панели или платформы обмена сообщениями, такие как Telegram.
Кроме того, у них есть несколько функций и планов подписки: их можно настроить так, чтобы они выдавали себя за разные организации, использовали разные языки и даже позволяли выбирать между мужским и женским голосом. Расширенные параметры включают подделку телефонных номеров, чтобы Caller ID зарегистрировал их в законной организации.
«Получить коды 2FA становится проще. Раньше преступник делал это вручную по принципу «человек посередине»; ожидал, что жертва сама введет токен на страницах входа по запросу. Сегодня, благодаря роботам, этот процесс автоматизирован, поэтому важно проявлять бдительность и использовать лучшие практики кибербезопасности, чтобы защитить себя и не стать жертвами».он заявляет Фабио Ассолини, директор группы глобальных исследований и анализа (GReAT) в Латинской Америке компании «Лаборатория Касперского».
Хотя двухфакторная аутентификация является важной мерой кибербезопасности, она не является неуязвимой. Чтобы защитить вас от изощренных мошеннических действий, Касперский рекомендует:
- Автоматически проверять если есть утечки данных, затрагивающие ваши учетные записи, связанные с адресами электронной почты и номерами телефоновкак ваш, так и вашей семьи. Если вы обнаружите нарушение, как минимум немедленно измените свой пароль.
- Создавайте надежные и уникальные пароли для всех своих учетных записей.. Мошенники смогут атаковать вас с помощью OTP-ботов только в том случае, если они знают ваш пароль. Поэтому создавайте сложные пароли и надежно храните их.
- Прежде чем вводить личную информацию, убедитесь, что вы находитесь на законном сайте. Одна из уловок, используемых мошенниками, — перенаправить пользователя на сайт. фишинг замена некоторых символов в адресной строке.
- Никогда никому не сообщайте одноразовые коды и не вводите их на клавиатуре телефона во время разговора. Помните, что законные сотрудники банков, магазинов, поставщиков услуг и даже органов власти никогда не попросят их у вас.
Вас может заинтересовать:
0 Комментариев