Социальная инженерия против 2FA: новые уловки хакеров

В эпоху цифровых технологий защита данных актуальна для каждого пользователя интернета, ведь сегодня люди доверяют сети слишком много важных сведений: паспортные данные, электронные и физические адреса, номера платежных карт и социального страхования. Для защиты конфиденциальной информации в сетевом пространстве существуют различные способы аутентификации пользователей. И одним из самых надежных признана двухфакторная аутентификация (two-factor authentication). Абсолютно все специалисты по ИБ, и Protectimus в том числе, настоятельно рекомендуют подключать 2FA в тех аккаунтах, где это возможно.

Но хакеры изобретают все новые уловки, чтобы обойти имеющиеся средства защиты данных. Недавно в сети появились сообщения об еще одном приеме, с помощью которого может быть скомпрометирована двойная аутентификация. На сей раз их жертвой стала SMS-аутентификация — наиболее распространенный сегодня вариант 2FA.

Новизна этого способа в том, что для его применения не нужно внедрять на компьютер или смартфон жертвы троянский вирус, умеющий перехватывать одноразовые пароли (one time passwords), как это делалось раньше. Чтобы узнать временный пароль для 2FA, оказалось достаточно некоторой доли хитрости и использования социальной инженерии.

Вспомним, как работает двухэтапная аутентификация на большинстве ресурсов. Часто для повышения удобства пользования к сервису подключается функция интеллектуальной идентификации. Так, одноразовый пароль запрашивается только тогда, когда запрос на авторизацию поступает не с того устройства или браузера, которым обычно пользуется владелец аккаунта.

Тут-то и отыскали возможную лазейку хакеры. Вначале потенциальная жертва получает фишинговое сообщение от имени того или иного сервиса (в данном случае речь идет о Google, но то же самое вполне можно осуществить на любом другом сайте, поддерживающем 2FA) о попытке несанкционированного доступа к ее/его аккаунту. В SMS также сообщается, что в ближайшее время пользователю будет выслан временный пароль, который он должен отправить в ответном сообщении, если хочет, чтобы его аккаунт был временно заблокирован.


Параллельно мошенники пытаются войти в аккаунт жертвы (естественно, с другого компьютера), и система присылает настоящему хозяину учетной записи временный пароль для подтверждения. После чего наивный пользователь передает его прямо в алчные руки взломщиков — по указанному ими фишинговому адресу.

Можно ли избежать подобной угрозы? Вполне, и помочь в этом способна все та же 2FA. Достигнуть более высокого уровня безопасности данных можно, если использовать для генерации временных паролей аппаратные токены. О преимуществах аппаратных OTP-токенов мы уже писали ранее, прочитать о том, какой ОТР-токен для 2FA лучше — аппаратный, программный или SMS, вы можете в этой статье — “Аппаратный или программный токен — какой выбрать”.

Такие OTP-токены не подключаются к какой-либо сети (интернет, GSM и т.д.), потому временные пароли, сгенерированные аппаратным токеном, невозможно перехватить. К тому же, пользователю, который отдал предпочтение аппаратному токену, не нужно переживать о социальной инженерии подобного рода. Ведь злоумышленнику попросту будет неизвестен его номер телефона. И отправить туда SMS не получится. Как видим, 2FA есть чем ответить на происки мошенников.

Author: Denis Shokotko

Жил-был в одном небольшом городе маленький мальчик, а звали его Дениска. Годы шли, он рос, а вместе с ним и рос интерес ко всему новому и непознанному. Особенно Денису нравились информационные технологии. Их чувства друг к другу были взаимными. Новое увлечение настолько манило, что он решил посвятить ему всю свою жизнь. В скором будущем он написал первую программу, потом еще, еще и еще... Тут ему не было равных. Его талант не мог быть не замечен. И вот, он уже стоит у истоков нового инновационного проекта. Теперь Protectimus в жизни Дениса как любовница, которая не будет его делить с другой и не потерпит измену :)

Share This Post On

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.

Спасибо за подписку на нашу рассылку!

Share This