Двухфакторная аутентификация с помощью одноразовых кодов (OTP — one-time password) сегодня воспринимается многими как «лекарство от всех болезней» — и от фишинга спасет, и от методов социальной инженерии защитит, и все аккаунты в безопасности сохранит. Одноразовый код запрашивается сервисом в момент логина пользователя как дополнительный метод проверки, что в учетную запись входит действительно ее владелец. Он может генерироваться в специальном приложении непосредственно на устройстве пользователя, но увы — немногие заморачиваются установкой и настройкой приложений-аутентификаторов. Поэтому чаще всего сервисы отправляют проверочный код в виде SMS, письма на электропочту, пуш-уведомления, сообщения в мессенджере или даже голосового звонка.
Этот код действует ограниченное время, и его использование значительно повышает уровень защиты, но… На OTP надейся, а сам не плошай: даже при наличии второго фактора аутентификации личные аккаунты остаются потенциально уязвимыми для OTP-ботов — автоматизированного ПО, способного выманивать у пользователей одноразовые пароли методом социальной инженерии.
Какую роль эти боты играют в фишинге и как они работают — в этом материале.
Как работают OTP-боты
Эти боты управляются либо через контрольную панель в веб-браузере, либо через Telegram и выманивают у жертвы одноразовый пароль, имитируя, например, звонок из банка с запросом присланного кода. Работает схема следующим образом.
- Завладев учетными данными жертвы, мошенник заходит в ее аккаунт и получает запрос на ввод OTP-кода.
- Жертве на телефон приходит сообщение с одноразовым паролем.
- OTP-бот звонит жертве и с помощью заранее заготовленного скрипта требует от нее ввести полученный код.
- Жертва набирает код на клавиатуре телефона прямо во время звонка.
- Код поступает в Telegram-бот злоумышленника.
- Злоумышленник получает доступ к аккаунту жертвы.
Ключевая функция OTP-бота — звонок жертве, и от убедительности бота зависит успех мошенников: время действия одноразовых кодов сильно ограничено, и шанс получить действующий код во время телефонного разговора гораздо выше. Поэтому OTP-боты предлагают множество функций, позволяющих тонко настраивать параметры звонка.
OTP-боты — это бизнес, поэтому для начала работы с ботом мошенники-разводилы покупают за крипту у мошенников-разработчиков подписку стоимостью до $420 в неделю. Далее они вводят в бота имя жертвы и ее номер, банковские данные, а также выбирают название организации, от лица которой будет совершен звонок.
Для убедительности мошенник может активировать функцию спуфинга, указав исходящий номер, с которого якобы совершается звонок — он отобразится на экране телефона жертвы. Далее можно выбрать язык разговора и даже голос бота. Все голоса сгенерированы с помощью искусственного интеллекта, поэтому OTP-бот может говорить по-английски с индийским акцентом или, например, на кастильском диалекте испанского языка. При перенаправлении звонка на голосовую почту бот умеет сбрасывать вызов. А чтобы убедиться, что все настроено верно, мошенник может сначала проверить настройки OTP-бота, инициировав звонок на собственный тестовый номер, а уже после атаковать жертву.
Киберпреступникам важно, чтобы жертва поверила в легитимность звонка, поэтому некоторые OTP-боты позволяют перед набором номера отправлять жертвам SMS-сообщения с предупреждением о предстоящем звонке. Это усыпляет бдительность, ведь обмана на первый взгляд и нет: сначала пришло SMS-уведомление «из банка» о предстоящем звонке, а через несколько минут на самом деле позвонили — значит, это точно не мошенники. А это они.
Некоторые боты во время звонка умеют запрашивать не только одноразовые пароли, но и другие данные — например, номер и срок действия банковской карты, ее код безопасности или PIN, дату рождения, реквизиты документов.
Подробнее об устройстве и работе OTP-ботов вы можете прочитать в нашем исследовании на Securelist.
Не ботом единым
Но OTP-бот — лишь инструмент обхода двухфакторной аутентификации, и без личных данных жертвы он совершенно бесполезен. Для входа в чужой аккаунт злоумышленнику нужно знать как минимум актуальные логин и пароль, а также номер телефона жертвы, но чем больше у него информации о жертве — полное имя, дата рождения, адрес, электронная почта, данные банковских карт — тем лучше для него. Добывают эти данные несколькими путями.
- Покупка в даркнете. Взломщики регулярно приторговывают огромными базами данных, где мошенники могут найти и логин, и пароль, и номер банковской карты, и другие данные. Не факт, что они будут достаточно свежими, но большинство пользователей, увы, не меняют своих паролей годами, а остальная информация устаревает и того медленнее. Кстати, Kaspersky Premium оперативно сообщит вам об утечке данных, привязанных к номеру телефона или адресу электронной почты, а Kaspersky Password Manager доложит о компрометации паролей.
- Поиск в открытых источниках. Порой подобные базы данных просачиваются в открытый доступ в «светлой» части Интернета, но обычно из-за большого резонанса быстро устаревают — так, стандартной практикой компании, обнаружившей утечку персональных данных своих клиентов, будет сброс паролей всех утекших учеток и запрос на создание нового пароля при следующем входе.
- Организация фишинговой атаки. Этот способ имеет неоспоримое преимущество перед остальными — данные жертвы будут стопроцентно актуальны, ведь фишинг можно устроить даже в реальном времени.
«Выудить» персональные данные мошенникам помогают фиш-киты — инструменты, которые в автоматическом режиме позволяют создавать правдоподобные фишинговые страницы для сбора данных. Они позволяют киберпреступникам сэкономить время и собрать интересующую их информацию о пользователе в рамках одной атаки (OTP-боты при этом — лишь часть фишинговой атаки).
Выглядеть многоступенчатый фишинг может, например, так. Жертве приходит сообщение от имени банка, магазина или любой другой организации с просьбой обновить персональные данные в личном кабинете — а к сообщению прикреплена фишинговая ссылка. Подразумевается, что, перейдя по ней на очень похожий на настоящий сайт, например банка, жертва введет логин и пароль, которые тут же окажутся у фишера. А уж он-то тут же постарается войти с этими данными в реальный аккаунт жертвы.
Если учетка защищена двухфакторной аутентификацией, то мошенник через административную панель фиш-кита отдает команду показать на фишинговом сайте страницу ввода OTP-кода. Когда жертва введет и одноразовый код, фишер получит полный доступ к настоящей учетной записи и сможет, например, украсть деньги со счета.
Но на этом мошенники не останавливаются — они пытаются выведать как можно больше личной информации, апеллируя к тому, что пользователь должен «подтвердить свои учетные данные». Через панель управления злоумышленник в реальном времени может запросить адрес электронной почты, номер банковской карты и другую важную информацию, а затем использовать ее для атаки на другие аккаунты жертвы. Например, войти в почтовый ящик с использованием уже известного пароля — ведь люди так часто используют один и тот же пароль для всех своих сервисов! А имея доступ к почте, можно разгуляться вовсю: скажем, сменить пароль почтового ящика и, проанализировав его содержимое, запросить данные для смены пароля в любых других учетках жертвы, привязанных к этому адресу.
Как сохранить свои аккаунты в безопасности
- Постоянно используйте Kaspersky Premium для автоматической проверки на утечки данных ваших аккаунтов, привязанных к e-mail и номеру телефона, — как вашим, так и всех ваших близких. При обнаружении утечки следуйте советам из приложения, что нужно сделать для ее нейтрализации (как минимум — немедленно смените пароль).
- Если вам внезапно приходит одноразовый код — насторожитесь. Возможно, вас пытаются взломать. Подробнее о том, что при этом надо делать – в нашей инструкции.
- Создайте надежные уникальные пароли для всех ваших аккаунтов с помощью Kaspersky Password Manager. Мошенники не смогут использовать против вас OTP-ботов, если не узнают ваш пароль, поэтому генерируйте сложные пароли и надежно храните их.
- Если вам приходит сообщение со ссылкой для ввода любых персональных данных и OTP-кодов, убедитесь в правильности URL-адреса. Подменить пару символов в адресной строке, отправив вас на похожий фишинговый сайт — любимый трюк мошенников, так что лучше потратить пару секунд и проверить, на легитимном ли сайте вы находитесь, а уже после вводить логин, пароль и OTP-код. Впрочем, наша защита заблокирует попытки перенаправить вас на фишинговый сайт.
- Не передавайте одноразовые коды третьим лицам и не вводите их на клавиатуре телефона во время звонка. Помните, что настоящие сотрудники банка, представители магазинов или сервисов и даже служители закона никогда не будут пытаться узнать ваш одноразовый пароль.
- Будьте на шаг впереди. Подпишитесь на наш блог, чтобы сделать свою жизнь в киберпространстве безопаснее.