Все мы проживаем две жизни одновременно: реальную и цифровую. У всех нас есть электронная почта, аккаунты в социальных сетях, банковские приложения, учетные записи на Госуслугах, чаты и мессенджеры. В конце концов, мы пользуемся умными колонками и другими IoT-устройствами. Мы ежедневно оставляем свой цифровой след в этом мире.
И, поскольку в онлайне мы храним ценную информацию, для ее защиты необходимо позаботиться о качественной системе безопасности. Один из её уровней — одноразовые пароли (OTP), или коды, которые получили распространение в 2010-х гг.
А вслед за этой технологией последовали и разработки интернет-мошенников, которые создали OTP-ботов. Они представляют собой серьезную угрозу нашей второй, цифровой, жизни, ослабляя ту степень защиты, которую, казалось бы, должна была обеспечить OTP-технология.
Давайте подробнее разбираться, кто такие OTP-боты, насколько они опасны и как от них защитить свои данные.
Что такое OTP
OTP (англ. one-time password) — это одноразовый (временный) код. У него короткий период жизни, который истекает спустя всего пару минут после создания. К примеру, их используют при входе в аккаунт приложения на смартфоне или на сайте. Именно короткая продолжительность жизни кодов как компонента двухфакторной аутентификации делает их невероятно ценными.
Этой технологией пользуются банки, маркетплейсы, почтовые сервисы, системы предоставления государственных услуг и др. OTP есть у Sberbank, Яндекс, Госуслуг и других крупных и не очень сервисов.
Что такое двухфакторная аутентификация
Двухфакторная аутентификация (2FA) — это одна из технологий обеспечения безопасности персональных данных, используемая для входа в аккаунт. Представляет собой двухшаговую проверку пользователя, который авторизуется на сайте или в приложении. Если проводить аналогию, то это что-то вроде двойного замка на входной двери.
Чем больше персональных данных и другой ценной информации хранится в аккаунтах пользователей, тем предпочтительнее применять такой вид аутентификации на сайте или в приложении. Любой представитель бизнеса должен обеспечить безопасный вход и хранение этих данных, и в первую очередь — в своих интересах.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
Двухфакторная аутентификация работает так: помимо стандартного логина и пароля (первый фактор — этап — входа), которые могут быть похищены злоумышленниками, для проверки личности активируется еще и второй фактор. Им может быть предопределенный PIN-код, OTP-код, сгенерированный с помощью текстового сообщения или приложения для аутентификации, биометрические данные (отпечаток пальца, например) и т. д.
Одноразовые пароли — наиболее распространенный и удобный метод, используемый в двухфакторной аутентификации. Они весьма популярны, поскольку их легко и удобно генерировать.
Например, когда пользователь входит в свою учетную запись с нового устройства, ему предлагается ввести пароль. После успешного ввода первичных данных ему на телефон или email отправляется временный код в виде текстового сообщения. Этот код необходимо успеть применить в течение нескольких минут. После этого он устаревает, и требуется запрос нового кода.
Таким способом онлайн-сервисы, платформы, приложения и сайты подтверждают, что за совершаемыми с аккаунтом действиями стоят реальные люди, а не боты.
Что такое OTP-боты
OTP-боты — это автоматизированные скрипты, запрограммированные на кражу одноразовых паролей. Злоумышленники используют их при взломе аккаунтов, чтобы пройти второй этап аутентификации. Заполучив одноразовый код, мошенники могут без труда войти в атакуемую учетную запись.
Вслед за этим они могут использовать аккаунт и персональные данные в своих мошеннических целях: например, вводить информацию для оформления заказов, совершать банковские операции и красть средства со счета, узнавать конфиденциальные корпоративные данные и даже продавать их в даркнете.
OTP-боты похожи на все остальные вредоносные автоматизированные скрипты, используемые для атак. Они способны приобретать разный масштаб, атакуя множество учетных записей одновременно.
О чем это говорит? О том, что злоумышленники всегда пытаются опередить и надломить различные системы и технологии защиты. Даже одноразовые пароли не гарантируют 100% безопасность наших с вами онлайн-данных.
Чтобы лучше разобраться в OTP-ботах, давайте посмотрим, какой у них алгоритм работы.
Как работают OTP-боты
Основная задача любого OTP-бота — кража одноразового пароля в рамках двухфакторной аутентификации при входе в аккаунт. Чтобы это сделать, злоумышленники разработали ряд тактик для запуска вредоносных алгоритмов.
Чаще всего OTP-боты сидят на зараженном устройстве пользователя с доступом к уведомлениям. Или же мошенники использует социальную инженерию с обманом жертвы, чтобы та сообщила звонящему одноразовый код. Ниже мы приводим примерный алгоритм атаки.
Пользователь должен войти в личный кабинет Госуслуг. После ввода логина и пароля там требуется ввести одноразовый код, отправляемый на телефон. Далее действия могут разворачиваться в зависимости от используемого злоумышленниками способа обмана:
- через социальную инженерию и украденные первичные данные (логин и пароль) — мошенник представляется оператором связи, очень настоятельно требует переподписания договора через Госуслуги, просит зайти в сервис и сообщить одноразовый код;
- или использует поддельные идентификаторы абонентов, логотипы и адреса электронной почты, фишинг и другие способы обмана, убеждающие в подлинности источника. Человек переходит по вредоносной ссылке на сайт-фальшивку и вводит там свои данные;
- смартфон пользователя заражен вредоносной программой, у которой есть доступ к СМС-сообщениям и PUSH-уведомлениям. Именно этот бот и может без социальной инженерии и прочих фокусов воровать одноразовые пароли.
ЗАПОМНИТЕ! Никогда не сообщайте одноразовый код из СМС-сообщений или PUSH-уведомлений посторонним лицам. Его используете только вы и только в личных целях. Ни сотрудникам отделов безопасности Госуслуг или банков, ни следователям прокуратуры, ни представителям Спортлото — никому из них ваши коды не требуются.
Как выглядит бот-атака с кражей OTP
Алгоритм атак, совершаемый OTP-ботами, зависит от уязвимостей каждой отдельной системы (сайта, приложения, онлайн-площадки). Как правило, они проходят в несколько этапов, которые выглядят следующим образом:
- Мошенники собирают информацию о жертве, необходимую для атаки. Это могут быть адреса эл. почты, номера телефонов или приложения для аутентификации (хранения паролей).
- Далее они дают команду OTP-ботам, чтобы те атаковали жертву, и скармливают им нужную информацию.
- Бот атакует жертву и обманом заставляет сообщить одноразовый код или завершить определенное действие с переходом по вредоносной ссылке.
- Как только бот узнает код, он получает несанкционированный доступ к аккаунту.
- Мошенники используют скомпрометированные учетные записи для выполнения других мошеннических действий. Например, кража денежных средств с банковских счетов или других данных, получение доступа к конфиденциальной корпоративной информации и т. д.
Как мы уже писали выше, злоумышленники также могут использовать социальную инженерию и путем обмана выуживать одноразовые коды у пользователей. В этом случае жертвы лично передают конфиденциальную информацию мошенникам.
Будущее одноразовых паролей
Пока киберпространство продолжает бороться с цифровым мошенничеством и вредоносными атаками, OTP-боты усложняют этот процесс. С их помощью злоумышленники усовершенствовали способ получения несанкционированного доступа к аккаунтам, защищенным даже двухфакторной аутентификацией. Если раньше 2FA был максимальным средством защиты аккаунта от различных атак, среди которых подстановка учетных данных и фишинг, то теперь на него не стоит полагаться на 100%.
Еще большее беспокойство вызывает общедоступность сервисов OTP-ботов, которые и вовсе можно использовать бесплатно. Злоумышленникам даже не нужны знания программирования: теперь они могут просто искать ботов в зависимости от предполагаемого типа атаки и копировать их код.
OTP-боты набирают популярность среди мошенников, поэтому владельцам сервисов, которые используют двухфакторную аутентификацию, нужно быть начеку. Пользователи тоже не должны расслабляться. Распознать такую атаку можно по следующим признакам:
- всплеск генераций одноразовых кодов за короткий промежуток времени,
- уведомления о необычных событиях,
- на email поступают запросы на ввод одноразового пароля, злоумышленники при звонке на телефон просят сообщить им код;
- вместе с кодом приходят подозрительные ссылки или вложения (в письмах),
- отправитель запрашивает немедленную верификацию аккаунта.
Несмотря на преимущества OTP-технологии, она также уязвима перед злоумышленниками. Давайте посмотрим, к чему может привести успешная атака ботов.
Последствия от атак OTP-ботов
Влияние OTP-ботов глубоко и многогранно: они угрожают как компаниям, так и отдельным пользователям.
Влияние на бизнес
OTP-боты несут прямую угрозу технологии, разработанной и используемой компаниями для обеспечения безопасности персональных данных. Среди последствий для бизнеса: финансовые потери из-за мошеннических действий, ущерб репутации и скомпрометированная конфиденциальная корпоративная информация. Поскольку боты действуют масштабно, то есть атакуют сразу десятки и сотни учетных записей одновременно, компаниям становится сложно защитить свои и пользовательские данные.
Влияние на рядовых пользователей
Рядовые пользователи в равной степени уязвимы перед OTP-ботами. Злоумышленники могут получить доступ к персональной информации путем обмана через социальную инженерию, фишинг, вредоносное ПО. Они так же, как и компании, сталкиваются с риском несанкционированного доступа к личным аккаунтам.
Тактики, используемые OTP-ботами, создают такую среду, в которой пользователи могут раскрывать свои одноразовые пароли. Это приводит к несанкционированному доступу и компрометации учетных записей. Помимо нарушения конфиденциальности они сталкиваются с финансовыми и эмоциональными потерями.
Влияние на кибербезопасность
Если рассматривать атаки OTP-ботов с более широкой точки зрения — экосистемы кибербезопасности, то они показывают, насколько быстро меняются и совершенствуются тактики мошенников. Даже если пользователь применяет двухфакторную аутентификацию для обеспечения безопасности при входе в аккаунт, киберпреступники всё равно находят хитроумные способы обойти её.
Это влияет как на доверие бизнеса к системам кибербезопасности в целом, так и на отношение пользователей к обычным методам защиты данных. Кроме того, это подчеркивает необходимость новых и более совершенных методов, способных защитить от подобных угроз.
Как бороться с OTP-ботами: стратегии защиты
Чтобы защитить себя от подобных бот-атак, бизнесу и рядовым пользователям рекомендуется следовать советам и стратегиям, перечисленным ниже.
Просвещение пользователей о безопасности данных
Одним из ключевых подходов к борьбе с OTP-ботами является повышение уровня информированности людей о таких атаках, о методах мошенников, которые они при этом используют, о кибергигиене в целом. Также важно научить их распознавать признаки попыток фишинга, подозрительных звонков и сообщений.
Разместите на своем сайте, в отдельном разделе, информацию, в которой укажите, почему и для чего им нужно быть осторожными со своими персональными данными, как реагировать на неожиданные сообщения или звонки, каким образом ваши сотрудники могут связываться с клиентами и какую информацию они не имеют права требовать.
Даже если кажется, что письма, звонки, сообщения идут из надежных источников, пусть перепроверят и ни в коем случае не делятся с кем-либо своими одноразовыми кодами.
Информирование и своевременное обновление ПО
Регулярное обновление программного обеспечения (операционные системы, антивирусы, приложения) необходимо для устранения уязвимостей, которые могут использовать OTP-мошенники. Кроме того, оставаясь в курсе последних технологий и способов мошенничества, используемых для атак (например, социальная инженерия), и постоянно совершенствуя протоколы безопасности, компании и пользователи могут значительно снизить риск стать жертвами злоумышленников.
Подключение продвинутых инструментов киберзащиты
Например, Умная капча
Информирование и бдительность — важные меры защиты от мошенничества. Тем не менее, усовершенствованные боты требуют не менее сложных стратегий защиты.
Инструменты, предназначенные для обнаружения бот-трафика, анализируют поведение пользователей на сайтах и выявляют подозрительные паттерны, связанные с атаками OTP-ботов (а также других скриптов).
К примеру, сервис Botfaqtor предлагает ИИ-инструмент «Умная капча». Его задача — защита форм авторизации, подписок, оформления заказов и отправки заявок. Капчу можно поставить даже на отдельные поля формы. Капча не мешает людям и показывается только ботам.
«Умная капча» — это гарантия того, что бот даже не сможет пройти первый шаг авторизации, то есть ввести логин и пароль. Преимущество инструмента — капча показывается только ботам, скликиватели с бирж не смогут её решить, так как не увидят в принципе.