Несмотря на защиту через двухфакторную аутентификацию, аккаунты пользователей продолжают взламываться. Какие способы используют мошенники и как себя обезопасить, АБН24 рассказал управляющий партнер консалтингового бюро «Кваша и Партнеры» Дмитрий Кваша.
Фото: freepik.com
По словам юриста, на сегодняшний день наиболее распространенным способом обхода механизмов двухфакторной аутентификации является не технический взлом, а использование методов социальной инженерии. Практика показывает, что подбор паролей и кодов подтверждения является сложным и малоэффективным способом получения доступа к учетным записям пользователей. Это связано с ограниченным количеством попыток ввода, временными ограничениями и дополнительными механизмами защиты, которые применяются современными сервисами.
«Основной причиной успешного обхода двухфакторной аутентификации остается человеческий фактор и излишнее доверие пользователей. Наиболее распространенная схема заключается в том, что злоумышленники под различными предлогами убеждают человека самостоятельно сообщить код подтверждения. Как правило, мошенники представляются сотрудниками служб доставки, такси, интернет-магазинов или иных популярных сервисов и сообщают, что для подтверждения заказа или выполнения какой-либо операции необходимо назвать код, который поступит в SMS-сообщении или push-уведомлении. Потерпевший, не вникая в содержание сообщения и полагая, что подтверждает обычную операцию, сообщает код злоумышленникам. После этого преступники получают возможность изменить пароли доступа к государственным информационным системам, банковским приложениям и иным сервисам», – пояснил спикер.
Еще одним широко распространенным способом обхода двухфакторной аутентификации является использование фишинговых ресурсов. Злоумышленники создают поддельные сайты, визуально практически не отличающиеся от официальных ресурсов банков, государственных порталов или популярных онлайн-сервисов.
«Пользователь самостоятельно вводит на таких ресурсах свои персональные данные, логины и пароли. При этом многие пользователи используют одинаковые или схожие пароли для различных сервисов, включая государственные информационные системы. После ввода учетных данных пользователю также может поступить сообщение с кодом подтверждения, который он вводит на поддельном сайте, предоставляя злоумышленникам полный доступ к своей учетной записи», – добавил Кваша.
Злоумышленники могут использовать и методы автоматизированного подбора кодов и паролей с помощью специализированных программ и Brute Force-атак. Однако на практике данный способ применяется значительно реже, поскольку современные системы предусматривают ограничения на количество попыток ввода. Например, для четырехзначных кодов существует тысяча возможных комбинаций, а для шестизначных — уже миллион. При этом большинство сервисов ограничивают количество попыток ввода до пяти-десяти за одну сессию, после чего учетная запись временно блокируется или требуют дополнительных действий для подтверждения личности пользователя.
«Эффективная защита в подобных ситуациях зависит прежде всего от внимательности самого человека. Пользователям необходимо тщательно проверять адреса сайтов, на которых они вводят свои данные, критически относиться к любым просьбам сообщить коды подтверждения и внимательно изучать содержание поступающих сообщений. На практике злоумышленники часто используют психологическое давление, создают ощущение срочности и отвлекают человека длительным разговором, из-за чего он не обращает внимания на то, от какого именно сервиса поступил код подтверждения. В результате пользователь может самостоятельно сообщить мошенникам код доступа к банковскому приложению, государственному порталу или иному важному сервису», – заключил спикер.
Ранее в АБН24: член Ассоциации юристов России Ярослав Остапенко рассказал, как маркетплейсы и продавцы играют на росте цен.
