«Лаборатория Касперского»: как мошенники используют OTP-боты для обхода двухфакторной аутентификации

Популярность метода двухфакторной аутентификации привела к появлению многочисленных способов взломать или обойти его. Чаще всего в качестве второго фактора используется верификация с помощью одноразовых кодов, или OTP (One Time Password). Их можно получить различными способами — в виде СМС, голосового сообщения по телефону, письма на почту, сообщения в мессенджере от официального бота сервиса или пуш-уведомления от приложения. За этими кодами и охотится большинство онлайн-мошенников. Например, для перехвата кодов они используют OTP-боты — автоматизированное ПО, способное выманивать у пользователей одноразовые пароли в схемах с использованием социальной инженерии.

Где получают первый фактор. Поскольку OTP-бот предназначен для кражи второго фактора аутентификации, подключать его имеет смысл, если у злоумышленника уже есть данные жертвы — как минимум логин и пароль от личного кабинета, а также номер телефона. Эту информацию злоумышленники либо находят в открытом доступе, в опубликованных утекших базах данных, либо покупают её в даркнете, либо выманивают на фишинговых сайтах.

Как выманивают второй фактор. Затем мошенник заходит в чужой аккаунт и получает запрос на ввод OTP-кода. Жертве на телефон приходит сообщение с одноразовым паролем. OTP-бот звонит пользователю и с помощью заранее заготовленного скрипта (такие скрипты есть и на русском языке) уговаривает ввести полученный код. Жертва набирает код на клавиатуре телефона прямо во время звонка. Код поступает в Telegram-бот злоумышленника, который таким образом получает доступ к аккаунту жертвы.

Ключевая функция OTP-бота — звонок жертве. Успех мошенников зависит от того, насколько убедителен будет бот: время действия одноразовых кодов сильно ограничено, и шанс получить действующий код во время телефонного разговора гораздо выше. Злоумышленники предпринимают все усилия, чтобы жертва поверила в легитимность звонка, поэтому некоторые OTP-боты перед набором номера отправляют жертвам СМС-сообщения с предупреждением о предстоящем звонке. Это тонкий психологический приём. Он нацелен на то, чтобы вызвать доверие у пользователя — сначала пообещать что-то и затем сдержать обещание.

«Использование OTP-ботов для обхода двухфакторной аутентификации — сравнительно новое явление в мире онлайн-мошенничества. Это серьёзная угроза как для пользователей, так и для онлайн-сервисов, тем более что некоторые боты во время звонка умеют запрашивать не только одноразовые пароли, но и другие данные — например, номер и срок действия банковской карты, PIN-коды, дату рождения, реквизиты документов. Функциональность ботов варьируется от одного скрипта, нацеленного на пользователей одной организации, до гибких настроек и широкого выбора скриптов, позволяющих заменить такими ботами целый мошеннический колл-центр», — комментирует Ольга Свистунова, старший контент-аналитик «Лаборатории Касперского».

Эксперты «Лаборатории Касперского» рекомендуют следующие меры безопасности:

• установите Kaspersky Premium для автоматической проверки на утечки данных ваших аккаунтов, привязанных к e-mail и номеру телефона — как вашим, так и всех ваших близких. При обнаружении утечки следуйте советам из приложения, что нужно сделать для её нейтрализации (как минимум немедленно смените пароль);
• создавайте надёжные уникальные пароли для всех ваших аккаунтов с помощью менеджера паролей. Мошенники не смогут использовать против вас OTP-боты, если не узнают ваш пароль;
• если вам приходит сообщение со ссылкой для ввода любых персональных данных и OTP-кодов, убедитесь в правильности URL-адреса. Подменить пару символов в адресной строке, отправив вас на похожий фишинговый сайт — любимый трюк мошенников, так что лучше потратить пару секунд и проверить, на легитимном ли сайте вы находитесь, а уже после вводить логин, пароль и OTP-код;
• не сообщайте одноразовые коды третьим лицам и не вводите их на клавиатуре телефона во время звонка. Помните, что настоящие сотрудники банка, представители магазинов или сервисов и даже служители закона никогда не будут пытаться узнать ваш одноразовый пароль.