როგორ იყენებენ თაღლითები OTP ბოტებს ორფაქტორიანი ავთენტიფიკაციის გვერდის ავლით- კასპერსკის ლაბორატორია

76 წაკითხვა

ორფაქტორიანი ავთენტიფიკაციის პოპულარობა გახდა იმის მიზეზი, რომ შემუშავებული ყოფილიყო მისი გატეხვის ან გვერდის ავლის მრავალი გზა. „კასპერსკის ლაბორატორიის“  თანახმად, გადამოწმება ერთჯერადი კოდების ან OTP (One Time Password) გამოყენებით ყველაზე ხშირად მეორე ფაქტორად გამოიყენება. მათი მიღება შესაძლებელია სხვადასხვა გზით – SMS-ის, ხმოვანი შეტყობინების სახით ტელეფონით, ელექტრონული ფოსტით, მესინჯერში შეტყობინების სახით სერვისის ოფიციალური ბოტიდან ან push-შეტყობინებების სახით აპლიკაციიდან. ონლაინ თაღლითების უმეტესობა ამ კოდების მიმდევარია. მაგალითად, კოდების მისატაცებლად ისინი იყენებენ OTP ბოტებს – ავტომატიზირებულ პროგრამულ უზრუნველყოფას, რომელსაც შეუძლია ერთჯერადი პაროლების მომხმარებლების შეტყუება  სოციალური ინჟინერიის სქემებში.

ვინაიდან OTP ბოტი შექმნილია ავთენტიფიკაციის მეორე  ფაქტორის მოსაპარად, მის გამოყენებას იმ შემთხვევაში აქვს აზრი, თუ თავდამსხმელს უკვე აქვს მსხვერპლის მონაცემები – მინიმუმ მომხმარებლის სახელი და პაროლი პირადი ანგარიშისთვის, ასევე ტელეფონის ნომერი. თავდამსხმელები ან პოულობენ ამ ინფორმაციას საჯარო დომენში, გამოქვეყნებულ მონაცემთა ბაზებში, ან ყიდულობენ მას darknet-ში, ან შეიტყუებენ  ფიშინგ საიტებზე.

შემდეგ თაღლითი შედის სხვის ანგარიშში და სთხოვს შეიყვანოს OTP კოდი. დაზარალებული ტელეფონზე იღებს შეტყობინებას ერთჯერადი პაროლით. OTP ბოტი ურეკავს მომხმარებელს და წინასწარ მომზადებული სკრიპტის გამოყენებით არწმუნებს მათ შეიყვანონ მიღებული კოდი. მსხვერპლი ზარის დროს კრეფს კოდს ტელეფონის კლავიატურაზე. კოდი იგზავნება თავდამსხმელის Telegram-ის ბოტზე, რომელიც ასეთი სახით იღებს წვდომას მსხვერპლის ანგარიშზე.

თაღლითების წარმატება დამოკიდებულია იმაზე, თუ რამდენად დამაჯერებელია ბოტი: ერთჯერადი კოდების მოქმედების ვადა ძალიან შეზღუდულია, ხოლო სატელეფონო საუბრის დროს სწორი კოდის მიღების შანსი გაცილებით მაღალია. თავდამსხმელები ყველა ღონეს ხმარობენ იმისთვის, რომ მსხვერპლმა დაიჯეროს, რომ ზარი კანონიერია, ამიტომ ზოგიერთი OTP ბოტი მსხვერპლს უგზავნის SMS შეტყობინებებს და აფრთხილებს მათ მომავალი ზარის შესახებ ნომერზე აკრეფამდე. ეს არის დახვეწილი ფსიქოლოგიური ტექნიკა. ის მიზნად ისახავს მომხმარებლისადმი ნდობის დამყარებას, ჯერ რაღაცის დაპირებით და შემდეგ დაპირების შესრულებით.

„OTP ბოტების გამოყენება ორფაქტორიანი ავთენტიფიკაციის გვერდის ავლით არის შედარებით ახალი ფენომენი ონლაინ თაღლითობის სამყაროში. ეს სერიოზული საფრთხეა როგორც მომხმარებლებისთვის, ასევე ონლაინ სერვისებისთვის, მით უმეტეს, რომ ზარის დროს ზოგიერთ ბოტს შეუძლია მოითხოვოს არა მხოლოდ ერთჯერადი პაროლი, არამედ სხვა მონაცემებიც – მაგალითად, საბანკო ბარათის ნომერი და ვადის გასვლის თარიღი, PIN კოდები, დაბადების თარიღი, დოკუმენტის დეტალები. ბოტების ფუნქციონალობა მერყეობს ერთი სკრიპტიდან, რომელიც მიმართულია ერთი ორგანიზაციის მომხმარებლებზე, მოქნილ პარამეტრებამდე და სკრიპტების ფართო არჩევანამდე, რაც საშუალებას გაძლევთ შეცვალოთ მთელი თაღლითური სატელეფონო ცენტრი ასეთი ბოტებით.

„კასპერსკის ლაბორატორიის“  ექსპერტები რეკომენდაციას უწევენ უსაფრთხოების შემდეგ ზომებს:

დააინსტალირეთ Kaspersky Premium, რათა ავტომატურად შეამოწმოთ მონაცემების გაჟონვა ანგარიშებზე, რომლებიც დაკავშირებულია ელ-ფოსტაზე და ტელეფონის ნომერზე – როგორც მომხმარებელის, ასევე მისი ახლობლების გაჟონვის აღმოჩენის შემთხვევაში, თქვენ უნდა მიჰყვეთ აპლიკაციის რჩევებს,რომელიც გვასწავლის  თუ რა უნდა გააკეთოთ მის გასანეიტრალებლად (მინიმუმ, დაუყოვნებლივ შეცვალეთ პაროლი);
შექმენით ძლიერი, უნიკალური პაროლები ყველა ანგარიშისთვის პაროლის მენეჯერის გამოყენებით. თაღლითები ვერ შეძლებენ OTP ბოტების გამოყენებას, თუ არ იციან მომხმარებლის პაროლი;
თუ მიიღებთ შეტყობინებას ბმულით, ნებისმიერი პერსონალური მონაცემებისა და OTP კოდების შეყვანის მონაცემებით, უნდა დარწმუნდეთ, რომ URL სწორია. მისამართების ზოლში რამდენიმე სიმბოლოს ჩანაცვლება მსგავს ფიშინგ საიტზე გაგზავნით თაღლითების საყვარელი ხრიკია, ამიტომ ჯობია მომხმარებელმა დახარჯოს რამდენიმე წამი და შეამოწმოს არის თუ არა ის ლეგიტიმურ საიტზე და მხოლოდ ამის შემდეგ შეიყვანოს  ლოგინი, პაროლი და OTP კოდი;
არ გაუმჟღავნოთ ერთჯერადი კოდები მესამე პირებს და არ შეიტანოთ ისინი ტელეფონის კლავიატურაზე ზარის დროს: ბანკის ნამდვილი თანამშრომლები, მაღაზიების ან სერვისების წარმომადგენლები და კანონის წარმომადგენლებიც კი -არასოდეს შეეცდებიან გაარკვიონ ერთჯერადი პაროლი.