«Касперский зертханасы»: алаяқтар екі факторлы аутентификацияны айналып өту үшін OTP боттарын қалай пайдаланады
Екі факторлы аутентификация әдісінің танымалдығы оны бұзудың немесе айналып өтудің көптеген әдістеріне әкелді. Көбінесе екінші фактор ретінде бір реттік кодтарды немесе OTP (One Time Password) көмегімен тексеру қолданылады. Оларды әртүрлі тәсілдермен алуға болады — SMS, телефон арқылы дауыстық хабарлама, поштаға хат, қызметтің ресми ботынан мессенджердегі хабарлама немесе қосымшадан басу хабарламасы түрінде. Интернеттегі алаяқтардың көпшілігі осы кодтарды іздейді. Мысалы, кодтарды ұстау үшін олар OTP боттарын пайдаланады-әлеуметтік инженерияны қолдана отырып, схемаларда пайдаланушылардан бір реттік парольдерді алдауға қабілетті автоматтандырылған бағдарламалық жасақтама.
Бірінші фактор қай жерде алынады. OTP боты аутентификацияның екінші факторын ұрлауға арналғандықтан, егер шабуылдаушыда жәбірленушінің деректері болса — кем дегенде Жеке кабинеттің логині мен паролі, сондай-ақ телефон нөмірі болса, оны қосу мағынасы бар. Бұл ақпаратты зиянкестер жалпыға қол жетімді жерде, жарияланған жария дерекқорларда табады немесе оны қараңғы желіден сатып алады немесе фишингтік сайттарда алдайды.
Екінші фактор қалай азғырылады. Содан кейін алаяқ біреудің есептік жазбасына кіріп, OTP кодын енгізу туралы сұраныс алады. Жәбірленушіге телефонға бір реттік парольмен хабарлама келеді. OTP-бот пайдаланушыға қоңырау шалып, алдын-ала дайындалған сценарийдің көмегімен (мұндай сценарийлер орыс тілінде) алынған кодты енгізуге көндіреді. Жәбірленуші қоңырау кезінде телефон пернетақтасында кодты тереді. Код шабуылдаушының Telegram ботына түседі, ол осылайша жәбірленушінің шотына қол жеткізе алады.
OTP ботының негізгі функциясы-жәбірленушіге қоңырау шалу. Алаяқтардың жетістігі боттың қаншалықты сенімді болатынына байланысты: бір реттік кодтардың әрекет ету уақыты өте шектеулі және телефонмен сөйлесу кезінде жарамды кодты алу мүмкіндігі әлдеқайда жоғары. Шабуылдаушылар жәбірленушінің қоңыраудың заңдылығына сенуіне барлық күш-жігерін жұмсайды, сондықтан кейбір OTP боттары теру алдында жәбірленушілерге алдағы қоңырау туралы ескертетін SMS хабарлама жібереді. Бұл нәзік психологиялық әдіс. Ол пайдаланушының сенімін арттыруға бағытталған-алдымен бір нәрсеге уәде беріп, содан кейін уәдесін орындау.
«Екі факторлы аутентификацияны айналып өту үшін OTP боттарын пайдалану онлайн алаяқтық әлеміндегі салыстырмалы түрде жаңа құбылыс. Бұл пайдаланушылар үшін де, онлайн-қызметтер үшін де үлкен қауіп, әсіресе қоңырау кезінде кейбір боттар тек бір реттік парольдерді ғана емес, сонымен қатар басқа деректерді — мысалы, банк картасының нөмірі мен жарамдылық мерзімін, PIN-кодтарды, туған күнін, құжаттардың деректемелерін сұрай алады. Боттардың функционалдығы бір ұйымның пайдаланушыларына бағытталған бір сценарийден бастап, икемді параметрлерге және бүкіл алаяқтық байланыс орталығын осындай боттармен алмастыруға мүмкіндік беретін сценарийлердің кең таңдауына дейін»,-деп түсіндіреді Ольга Свистунова, «Касперский зертханасының» аға контент-талдаушысы.
«Касперский зертханасының» сарапшылары келесі қауіпсіздік шараларын ұсынады:
-e-mail және телефон нөміріне байланысты тіркелгілеріңіздің деректерінің бұзылуын автоматты түрде тексеру үшін Kaspersky Premium орнатыңыз — сіздің де, барлық жақындарыңыздың да. Егер бұзып кету анықталса, оны бейтараптандыру үшін не істеу керек екендігі туралы кеңестерді орындаңыз (кем дегенде парольді дереу өзгертіңіз);
— құпия сөз менеджері арқылы барлық есептік жазбаларыңыз үшін күшті, бірегей құпия сөздерді жасаңыз. Алаяқтар сіздің құпия сөзіңізді білмесе, сізге қарсы OTP боттарын пайдалана алмайды;
— егер сізге кез-келген жеке деректер мен OTP кодтарын енгізу үшін сілтеме бар хабарлама келсе, URL мекен-жайының дұрыстығына көз жеткізіңіз. Сізді ұқсас фишингтік сайтқа жіберу арқылы мекенжай жолағындағы бірнеше таңбаны ауыстырыңыз-алаяқтардың сүйікті айласы, сондықтан бірнеше секунд жұмсап, сайтта заңды екеніңізді тексеріп, содан кейін логин, пароль және OTP кодын енгізген дұрыс;
— бір реттік кодтарды үшінші тұлғаларға бермеңіз және қоңырау кезінде оларды телефон пернетақтасына енгізбеңіз. Есіңізде болсын, банктің нақты қызметкерлері, дүкендердің немесе қызметтердің өкілдері, тіпті заң қызметкерлері ешқашан сіздің бір реттік құпия сөзіңізді білуге тырыспайды.