Двухфакторная аутентификация – не гарант безопасности
Многофакторная аутентификация (MFA) или двухфакторная аутентификация (2FA) в обиходе означают одно и то же. На сегодняшний день более 2 этапов защиты встречается крайне редко, поэтому мы будем говорить про 2FA.
Двухфакторная аутентификация – способ входа в учётную запись, при котором к классическому паролю добавляется ещё один инструмент защиты – код из смс или push-уведомления, специальный код из приложения или ответ на вопрос, который знает только владелец аккаунта.
В сочетании с надежным паролем и бдительностью владельца учётной записи двухфакторная аутентификация обеспечивает высокий уровень защиты от компрометации – около 99%. Однако 1% на успех злоумышленников остаётся. Давайте разберёмся, как взламывают аккаунты, защищённые 2FA.
Как злоумышленники могут обойти 2FA?
Фишинг и социальная инженерия
Большинство таргетированных атак начинаются именно с фишинга с применением методов социальной инженерии. Сюда относятся: электронные письма, якобы от реальных сервисов, смс-сообщения, звонки.
Цель злоумышленников – заставить жертву перейти по ссылке и ввести данные, либо загрузить приложение, содержащее вредоносное ПО, либо назвать код из смс, являющийся вторым инструментом защиты. Итогом, естественно, является кража учётных, банковских данных или одноразовых кодов, дающих мошенникам возможность войти в аккаунт жертвы в интересующем сервисе и получить полный карт-бланш.
SIM Swapping
Атаки с заменой SIM-карты стали часто использоваться злоумышленниками в 2024 году. Заключаются они в переносе номера телефона жертвы на новую сим-карту, которая принадлежит злоумышленникам.
Реализуется данная схема через оператора связи, используя заранее собранный объём сведений о жертве, либо «своего человека» в числе сотрудников. Последнее встречается довольно часто, ведь злоумышленники предлагают своим сообщникам внушительное вознаграждение.
Завладев номером телефона жертвы, злоумышленники получают доступ к огромному списку учётных записей: аккаунт «Госуслуг», мобильный банк, социальные сети.
Зачастую, в качестве второго способа входа используется именно одноразовый код-пароль, отправляемый на номер телефона, поэтому злоумышленники без труда реализуют свои планы.
Вредоносное программное обеспечение
Заражение вредоносным ПО является самым массовым методом кражи учётных данных, поскольку требует меньше времени и нацелен сразу на множество пользователей.
Скачав файл из непроверенного источника, либо перейдя по ссылке, пользователь рискует загрузить на устройство шпионское ПО, инфостилер, вирус или кейлогер.
Современные версии ВПО способны красть учётные данные из браузеров, криптовалютных кошельков или мессенджеров, перехватывать cookie-файлы, предоставляя злоумышленникам доступ к вашей сессии.
Наиболее опасным является шпионское ПО для мобильных устройств, так как оно способно раскрыть все ваши данные, включая способ двухфакторной аутентификации и метод его обхода. Мобильный вредоносный софт обладает такими функциями как перехват сообщений и push-уведомлений, подмена экрана, запись экрана и нажатия клавиш, что позволяет злоумышленникам легко перехватить данные и войти в вашу учётную запись в любом сервисе.
Что сделать, чтобы обезопасить свои учётные записи?
Начать процесс повышения собственной безопасности стоит с совершенствования собственной цифровой грамотности – необходимо знать о современных уловках мошенников и хакеров и внимательно относится к тому, что вы ищете и скачиваете в интернете.
Далее стоит позаботиться о безопасности устройства. Надёжные пароли, антивирусное программное обеспечение, защита смартфона с помощью биометрии. Также стоит не оставлять свои устройства без присмотра, ведь реальные угрозы повсюду, даже рядом с вами.
И, наконец, когда соблюдены основные пункты, можно перейти к самому продвинутому – использование специального TOTP приложения-аутентификатора на смартфоне. Оно генерирует одноразовые пароли в заданный промежуток времени. Обойти 2FA при наличие такого приложения хакеры смогут только с помощью продвинутого вредоносного ПО, а для защиты от него смотрим первые 2 пункта.
