По данным компании F6, в России зафиксирован новый сценарий мошенничества для угона учетных записей. Через короткие видео злоумышленники распространяют ссылки на сайты, которые предлагают взламывать игровые аккаунты для получения дополнительных функций бесплатно. Под этим предлогом пользователям предлагают скопировать на сайте код и ввести его на фишинговом сайте. Киберпреступники перехватывают сессию и получают доступ к аккаунту без ввода пароля и двухфакторной аутентификации.
Руководитель группы защиты инфраструктурных ИТ-решений компании "Газинформсервис" Сергей Полунин объясняет, что в традиционном фишинге у жертвы пытаются узнать логин, пароль или одноразовые коды из SMS, чтобы потом воспользоваться аккаунтом. Кража сессии работает иначе: после того как человек ввел все свои данные на каком-то сайте и попал в личный кабинет, браузер создает специальный сеансовый ключ, который нужен для того, чтобы не спрашивать логин и пароль каждый раз, когда пользователь заходит на сайт с того же устройства. "Это очень удобно, но, с другой стороны, если этот сеансовый ключ украсть, то можно заходить на сайт от вашего имени, не зная ни логина, ни пароля", - указывает эксперт.
Сессии крадут с помощью вредоносного кода, запущенного на устройстве пользователя. Это может быть вредоносное расширение или уязвимость в браузере, которую долго игнорируют. "Вредонос" может оставаться в системе незамеченным довольно долго, потому что явно не будет замедлять работу системы и не всегда определяется антивирусом.
Самый распространенный тип атаки - "человек посередине". Злоумышленник создает точную копию сайта банка или почтового сервиса и перехватывает трафик между вами и настоящим сервером. Вы вводите данные и проходите двухфакторную аутентификацию, думая, что работаете с легитимным ресурсом, а хакер в этот момент просто забирает себе готовый токен аутентификации. Для подделки страниц даже используются технологии вроде Browser-in-the-Browser, когда внутри обычного браузера открывается идеально подделанное окно входа со своим адресом и замком безопасности.
Чаще всего причиной взлома становится излишняя доверчивость и желание сэкономить минуту времени. Большой всплеск таких атак фиксируется во время массовых онлайн-распродаж. Мошенники предлагают установить браузерные расширения для автоматического поиска скидок или кэшбэка. Пользователь сам дает разрешение шпионскому модулю, который затем крадет все активные сессии. То же самое касается переходов по ссылкам от незнакомцев в мессенджерах и скачивания файлов из ненадежных источников.
Старший преподаватель института кибербезопасности и цифровых технологий РТУ МИРЭА Игорь Котилевец рассказал, что типичная ошибка - игнорирование всплывающих окон браузера с предупреждением о том, что расширение запрашивает доступ к чтению данных на всех сайтах. Также стандартных методов подтверждения по SMS или кодам из приложений-аутентификаторов сегодня уже недостаточно для защиты критически важных аккаунтов. SMS-коды могут быть перехвачены при помощи вредоносного ПО или через уязвимости протокола сотовой связи. Коды TOTP (шестизначные цифры, которые обновляются каждые 30 секунд) действительны в течение времени, достаточного для автоматизированной атаки. При фишинге человек вводит код на поддельном сайте, и мошенники тут же подставляют его на настоящем, чтобы украсть токен.
Котилевец подчеркивает, что настоящей устойчивой к фишингу защитой считаются только аппаратные токены или встроенные криптографические ключи. В отличие от цифр из SMS, этот метод физически привязан к домену сайта. Даже если человек зайдет на идеально подделанную страницу, система аутентификации просто не сработает, потому что увидит неправильный адрес в браузере. При этом закрытый ключ никогда не покидает устройство, поэтому перехватить его удаленно так же невозможно, как украсть отпечаток пальца по телефонному звонку.
Чаще всего пользователи "попадаются" на уловки мошенников из-за невнимательности при входе в аккаунт. "Один из лучших способов заставить человека что-то сделать быстро - это встревожить его. А в стрессе мы становимся, как правило, менее наблюдательными. Так, пользователь не замечает странные приписки в адресе сайта, который отображается в адресной строке браузера. Или доверяет необычным просьбам, уведомлениям, которые выдают себя за официальные, например, подтверждение входа на какой-то ресурс, хотя сам пользователь его не инициировал", - заключает эксперт по социотехническому тестированию Angara Security Яков Филевский.
Самые популярные схемы мошенников в России