veryfry
Опытный user
- Регистрация
- 16 Сен 2021
- Сообщения
- 542
- Реакции
- 71
Дочерняя компания Google по кибербезопасности Mandiant стала жертвой мошенничества в начале этого года.
Злоумышленник взломал аккаунт компании в X (прежнее название Twitter) и использовал его для крипто-скама, обманув множество пользователей.
Оказалось, что многофакторная аутентификация (MFA) не является надежным решением, даже для компаний по кибербезопасности, не говоря уже о обычных пользователях. Хакеры могут обойти MFA. На самом деле, они используют множество методов, которые доказали свою эффективность.
Современное вредоносное ПО и кража данных
Исследователь из Malwarebytes Labs рассказал, как можно обойти MFA в Google. Вкратце, достаточно украсть токен аутентификации.
Хакеры могут использовать трояны для сбора данных (стиллеры) с систем жертв. Последствия такой атаки могут быть серьезными, и смена пароля не всегда помогает.
Перехват данных – один из самых распространенных методов обхода MFA, и он остается эффективным.
Вредоносное ПО также может перехватывать электронные письма и SMS-сообщения, содержащие одноразовые коды доступа. Перехват уведомлений от приложения аутентификации на смартфоне происходит аналогичным образом. Кейлоггеры, записывающие нажатия клавиш, часто используются для взлома аккаунтов. Хакеры использовали кейлоггеры для получения доступа к данным клиентов LastPass.
Получение чужих cookies также может быть достаточным для обхода аутентификации. Инфицируя устройство жертвы вредоносным ПО, хакеры могут украсть cookies и использовать их для доступа к аккаунтам.
Хакеры могут также выдавать себя за пользователя, чтобы заказать новую SIM-карту (SIM-swapping) и получить доступ к сообщениям с кодами аутентификации:
https://www.anti-malware.ru/analytics/Threats_Analysis/How-to-protect-yourself-from-SIM-Swapping
Когда такое происходит, вам немедленно необходимо обратиться в офис вашего оператора и отменить перевыпуск карты.
Социальная инженерия: Старые методы и новые трюки
Основные принципы онлайн-мошенничества остаются прежними, несмотря на изменения в мире.
Мошенники часто звонят или пишут жертвам, убеждая их сбросить пароли. В последнее время популярны схемы фишинга через поддельные страницы входа и веб-сайты.
Более современный метод – это усталость от MFA (MFA fatigue), также известная как MFA push spam. Этот метод эффективен и не требует больших затрат на вредоносное ПО.
В типичной атаке усталости от MFA пользователь настраивает систему для получения push-уведомлений:
Хакер запускает скрипт, который бесконечно посылает уведомления, чтобы пользователь случайно подтвердил вход.
В результате некоторые пользователи отключают MFA, как случайно, так и специально дабы остановить спам уведомлениями.
Если этот метод не срабатывает, хакер может связаться с пользователем, выдавая себя за надежный источник (как к примеру, сотрдуник н-ой компании, либо оператор), и предложить перейти по ссылке или одобрить попытку входа.
Как использовать MFA и избегать ошибок?
Злоумышленник взломал аккаунт компании в X (прежнее название Twitter) и использовал его для крипто-скама, обманув множество пользователей.
Оказалось, что многофакторная аутентификация (MFA) не является надежным решением, даже для компаний по кибербезопасности, не говоря уже о обычных пользователях. Хакеры могут обойти MFA. На самом деле, они используют множество методов, которые доказали свою эффективность.
Современное вредоносное ПО и кража данных
Исследователь из Malwarebytes Labs рассказал, как можно обойти MFA в Google. Вкратце, достаточно украсть токен аутентификации.
Хакеры могут использовать трояны для сбора данных (стиллеры) с систем жертв. Последствия такой атаки могут быть серьезными, и смена пароля не всегда помогает.
Перехват данных – один из самых распространенных методов обхода MFA, и он остается эффективным.
Вредоносное ПО также может перехватывать электронные письма и SMS-сообщения, содержащие одноразовые коды доступа. Перехват уведомлений от приложения аутентификации на смартфоне происходит аналогичным образом. Кейлоггеры, записывающие нажатия клавиш, часто используются для взлома аккаунтов. Хакеры использовали кейлоггеры для получения доступа к данным клиентов LastPass.
Получение чужих cookies также может быть достаточным для обхода аутентификации. Инфицируя устройство жертвы вредоносным ПО, хакеры могут украсть cookies и использовать их для доступа к аккаунтам.
Хакеры могут также выдавать себя за пользователя, чтобы заказать новую SIM-карту (SIM-swapping) и получить доступ к сообщениям с кодами аутентификации:
https://www.anti-malware.ru/analytics/Threats_Analysis/How-to-protect-yourself-from-SIM-Swapping
Когда такое происходит, вам немедленно необходимо обратиться в офис вашего оператора и отменить перевыпуск карты.
Социальная инженерия: Старые методы и новые трюки
Основные принципы онлайн-мошенничества остаются прежними, несмотря на изменения в мире.
Мошенники часто звонят или пишут жертвам, убеждая их сбросить пароли. В последнее время популярны схемы фишинга через поддельные страницы входа и веб-сайты.
Более современный метод – это усталость от MFA (MFA fatigue), также известная как MFA push spam. Этот метод эффективен и не требует больших затрат на вредоносное ПО.
В типичной атаке усталости от MFA пользователь настраивает систему для получения push-уведомлений:
Хакер запускает скрипт, который бесконечно посылает уведомления, чтобы пользователь случайно подтвердил вход.
В результате некоторые пользователи отключают MFA, как случайно, так и специально дабы остановить спам уведомлениями.
Если этот метод не срабатывает, хакер может связаться с пользователем, выдавая себя за надежный источник (как к примеру, сотрдуник н-ой компании, либо оператор), и предложить перейти по ссылке или одобрить попытку входа.
Как использовать MFA и избегать ошибок?
- Одобряйте только ожидаемые уведомления MFA. Не одобряйте входы/cообщения/уведомления, которые не инициировали вы.
- Используйте приложения-аутентификаторы (например, Authy или Google Authenticator) вместо SMS MFA, так как они более безопасны.
- Регулярно проверяйте активность вашего аккаунта на предмет несанкционированных входов или изменений.
- Будьте осторожны с фишингом и не следуйте инструкциям из незапрашиваемых сообщений.
- Включите уведомления о изменениях в аккаунте, чтобы быстро реагировать на несанкционированные действия.
- Сочетайте MFA с надежными и уникальными паролями для каждого аккаунта, не записывайте их на ПК.
- Обновляйте операционные системы и антивирусное ПО, чтобы защититься от вредоносного ПО.
- Обеспечьте безопасность всех ваших устройств паролями, PIN-кодами или биометрическими замками.
- Никогда не устанавливайте никакие приложения, не удостоверившись в их безопасноcти.
- Перепроверяйте контактную и личную информацию с тем, кем общаетесь.
- Никогда не вводите свою личную информацию на сайтах (как к примеру, данные кредитной карты), и проверяйте свои почты на сливы на веб-сайтах, как HaveIBeenPwned!
