В наши дни двухфакторная аутентификация стала стандартом безопасности для большинства веб-сайтов и онлайн-сервисов. Некоторые страны даже приняли законы, обязывающие определённые организации защищать учётные записи пользователей с помощью 2FA.
Однако популярность этой меры привела к развитию множества методов её взлома или обхода, постоянно эволюционирующих и адаптирующихся к современным реалиям. Согласно новым данным, злоумышленники всё чаще используют так называемые OTP-боты для кражи кодов 2FA. Эти нехитрые программы представляют серьезную угрозу как для пользователей, так и для онлайн-сервисов.
OTP-бот — это ПО, предназначенное для перехвата одноразовых паролей с помощью социнженерии. Функциональность варьируется от простых сценариев для определённых организаций до высоко настраиваемых конфигураций с широким набором сценариев на разных языках и с различными голосами.
Типичная схема мошенничества с использованием OTP-бота включает следующие шаги: злоумышленник получает учётные данные жертвы и пытается войти в её аккаунт, жертва получает одноразовый пароль на телефон, OTP-бот звонит жертве и, следуя заранее подготовленному скрипту, убеждает её поделиться кодом. Жертва вводит код верификации, не прерывая звонок, а злоумышленник получает этот код через специальную панель управления или Telegram-бота и использует его для входа в аккаунт.
Разработчики ботов стараются сделать их максимально привлекательными для злоумышленников. Например, один OTP-бот предлагает более дюжины функций, включая круглосуточную техническую поддержку, скрипты на различных языках, возможность выбора женского или мужского голоса, а также подмену номера звонящего.
Для большей убедительности некоторые OTP-боты могут демонстрировать на экране телефона жертвы официальный номер организации, от имени которой они звонят. Боты также способны определять, если звонок переадресован на голосовую почту, и завершать вызов. Разработчики ботов конкурируют, стараясь включить максимум функций по привлекательной цене — стоимость подписки может достигать 420 долларов в неделю.
Помимо OTP-ботов, мошенники также используют многоцелевые фишинговые наборы для перехвата одноразовых паролей в реальном времени. Эти наборы имитируют веб-сайты банков, платёжных систем, онлайн-магазинов, облачных сервисов, служб доставки, криптобирж и почтовых сервисов, запрашивая у жертв личные данные, включая логины, пароли, коды 2FA, номера банковских карт, CVV-коды и даже даты рождения.
В ходе многоэтапной фишинговой атаки жертва сначала вводит свои учётные данные на поддельном сайте, а затем, когда требуется ввести одноразовый пароль для дополнительной верификации, на этом же сайте появляется форма для ввода кода. После получения OTP злоумышленники могут запрашивать у жертвы еще больше конфиденциальных сведений под предлогом подтверждения личных данных.
Некоторые боты позволяют заранее отправить жертве СМС с предупреждением о предстоящем звонке от сотрудника какой-либо компании. Это психологический трюк, призванный завоевать доверие человека — сначала обещание, а потом его исполнение. Тревожное сообщение также может заставить в напряжении ждать звонка.
Статистика «Лаборатории Касперского» показывает, что в мае 2024 года их инструменты предотвратили 69 984 попытки посетить сайты, созданные с помощью фишинговых наборов, нацеленных на банки. Также было обнаружено 1262 фишинговые страницы, сгенерированные десятью многоцелевыми наборами для перехвата OTP.
Пик активности фишинговых страниц пришёлся на первую неделю мая и совпал с всплеском деятельности одного из наборов. Эксперты отмечают, что мошенники могут получать исходные данные жертв, такие как логины, пароли, номера телефонов из утечек в интернете, на чёрном рынке или с помощью фишинговых сайтов.
Для защиты своих аккаунтов от мошенников эксперты рекомендуют:
— Не открывать подозрительные ссылки напрямую — вводить адреса веб-сайтов вручную или использовать закладки;
— Проверять корректность адреса сайта перед вводом учётных данных и использовать Whois для проверки даты регистрации;
— Не произносить и не вводить одноразовые пароли во время телефонных звонков;
— Использовать надёжные антивирусные решения, блокирующие фишинговые страницы.
Представители индустрии кибербезопасности призывают пользователей быть бдительными и следовать основным правилам цифровой гигиены, чтобы не стать жертвами мошенников, использующих OTP-боты и фишинговые наборы для кражи личных данных и обхода двухфакторной аутентификации.