Эксперты по кибербезопасности зафиксировали сразу две новые угрозы для пользователей: технический метод обхода двухфакторной аутентификации (2FA) и социальную инженерную схему с запугиванием блокировкой Системы быстрых платежей (СБП).
Обход 2FA через подбор SMS-кодов
Лаборатория кибербезопасности Servicepipe выявила новый способ атаки, позволяющий злоумышленникам обходить механизмы двухфакторной аутентификации по одноразовым SMS-кодам (OTP). Об этом 3 июля сообщил источник «Ведомостей».
Как работает атака:
Метод был обнаружен при анализе отражённой атаки типа SMS-бомбинг на одного из клиентов компании. Злоумышленники осуществляют перебор (брутфорс) коротких кодов подтверждения, что при успешном подборе даёт им полный доступ к аккаунту жертвы, включая персональные и платёжные данные.
Кто в зоне риска:
Наиболее уязвимы сервисы, использующие короткие коды подтверждения:
— банки;
— маркетплейсы;
— службы такси, доставки и каршеринга.
Рекомендации экспертов:
Для защиты от подобных атак специалисты Servicepipe рекомендуют:
— увеличивать длину одноразовых кодов;
— ограничивать число попыток ввода;
— внедрять антибот-системы;
— переходить на push-уведомления или приложения-аутентификаторы.
Новая схема мошенничества: запугивание блокировкой СБП
Параллельно платформа «Мошеловка» ОНФ зафиксировала новую социальную инженерную схему обмана россиян. По данным пресс-службы от 3 июля, злоумышленники звонят гражданам под видом сотрудников банков и запугивают их якобы блокировкой СБП из-за «подозрительной активности».
Сценарий мошенничества:
В ходе «срочной верификации» через якобы специальный сервис мошенники требуют от жертвы:
— продиктовать код из SMS;
— установить вредоносное приложение под видом официального;
— перевести деньги на «безопасный счёт».
Как защититься
Эксперты рекомендуют соблюдать базовые правила цифровой гигиены:
Никогда не сообщать SMS-коды и пароли третьим лицам — даже «сотрудникам банка»;
Использовать приложения-аутентификаторы вместо SMS-кодов там, где это возможно;
Проверять подлинность приложений — скачивать только из официальных магазинов;
При подозрительных звонках прерывать разговор и самостоятельно связываться с банком по номеру с обратной стороны карты.