Post #489

Атаки на двухфакторку без кожаных мешков Повсеместное внедрение двухфакторной аутентификации очень помешало злоумышленникам. До этого многие из них выкупали данные с логинами/паролями из утекших баз и пытались их переиспользовать в других сервисах, а потом как-то монетизировать доступ. Но теперь для входа пары логин/пароль недостаточно, нужен еще и код, отправляемый через PUSH/смс/на email, либо последние цифры номера звонка. К этому коду идет приписка «Никому и никогда не сообщайте этот код», но люди сообщают. А злоумышленники делают всё, чтобы им его сообщили! И не скупятся на автоматизацию. Ведь звонить сами злоумышленники точно не хотят! А на даркнет-площадках активно предлагают им SaaS-сервисы, которые сделают это за них, без участия человека. Эти сервисы представляют собой веб-панель или телеграм-бота. В которого злоумышленник может выбрать опции и добавить информацию, которую будет использовать бот для звонка, например: - представится банком с таким-то названием; - обратиться к жертве по такому-то имени; - сказать жертве, что последние цифры ее карты такие-то; - позвонить жертве по указанному номеру; - позвонить жертве с подменой указанного номера; - использовать для общения с жертвой выбранный язык. А дальше нужно лишь нажать на кнопку! И бот позвонит одновременно с попыткой входа в аккаунт злоумышленником и очень убедительно попросит ввести на клавиатуре код двухфакторной аутентификации, который никому никогда нельзя сообщать. Но железке-то можно? Нет, нельзя. Как называются подобные сервисы? ФишКит, Фишинговый набор. Сколько стоит такой сервис? От 100 до 400 долларов в неделю в зависимости от возможностей бота. Как определить, что звонит такой бот? Он спросит ваш код, никто кроме злоумышленников его не спросит.