Эксперты объясняют, как мошенники используют код из SMS
Самая популярная и массовая схема кибермошенничества - выманивание с помощью приемов социальной инженерии одноразового цифрового кода из SMS. Его злоумышленник, изображающий сотрудника банка, госслужащего или сотрудника правоохранительных органов, просит назвать, мотивируя это различными легитимными требованиями: защитой финансов жертвы, аккаунта на сервисе "Госуслуги", необходимостью подтверждения личности и пр.
Излишне говорить, что сообщать кому-либо приходящий вам в SMS или в приложение код нельзя никому, ни при каких обстоятельствах. Он предназначен только для вашего входа в личный кабинет интернет-сервиса или для подтверждения финансовой транзакции. При этом оба этих действия должны быть инициированы вами.
Зачем же мошенникам нужны эти заветные 4 или 6 цифр? Что они хотят получить? "Наиболее привлекательными целями для злоумышленников остаются аккаунты, связанные с финансовыми сервисами, - банковскими приложениями, платежными системами, а также с государственными платформами и мессенджерами. Через такие каналы можно получить доступ к денежным средствам, оформить кредит на имя владельца либо завладеть личными данными для последующего мошеннического использования", - говорит генеральный директор компании PRO32 Игорь Мандик.
Правовые аспекты борьбы с мошенничеством эксперты "РГ" разъясняют в рубрике "Юрконсультация"
Наибольшую угрозу представляет взлом банковских аккаунтов и профиля на портале "Госуслуги". В первом случае злоумышленник получает прямой доступ к финансовым ресурсам. Во втором - возможность совершать юридически значимые действия от имени пользователя: регистрировать компании, подавать заявления, распоряжаться недвижимостью. Такой взлом приравнивается к фактической краже цифровой идентичности, говорит эксперт.
Сегодня действия злоумышленников в официальных информационных системах заметно ограничены, так как для большинства операций необходимо дополнительное подтверждение, так называемая двухфакторная аутентификация. То есть пароль плюс тот самый одноразовый код. И кажется, что даже полученный мошенниками код бесполезен, ведь они не знают пароль от аккаунта или личного кабинета жертвы. Но это не так. Опасность все равно велика.
Как рассказал "РГ" ведущий инженер CorpSoft24 Михаил Сергеев, присылаемый код, как правило, подтверждает согласие пользователя на осуществление определенных действий, которые совершают злоумышленники. "Этого недостаточно для входа в личный кабинет или на "Госуслуги", но достаточно, чтобы, например, подтвердить сброс пароля на новый, привязать другой телефон, почту или изменить настройки безопасности, в том числе отключить двухфакторную аутентификацию", - отмечает эксперт.
Еще один вектор атаки - это взломанная ранее связка логин/пароль. "Одноразовый код является ключевым элементом двухфакторной аутентификации. Получив его, злоумышленник завершает процесс входа в систему, используя ранее скомпрометированные логин и пароль. Даже при наличии второй степени защиты код становится тем звеном, которое обеспечивает полный доступ к аккаунту, если пользователь его добровольно сообщил", - предупреждает Мандик.
В связи с многочисленными случаями использования одноразовых цифровых кодов преступниками возникает вопрос, есть ли сегодня какие-либо технологии, которые могут заменить числовые коды, отправляемые пользователю, и сделать эту мошенническую схему бессмысленной.
Технологии аутентификации активно развиваются, и все чаще используются более надежные и удобные альтернативы одноразовым кодам. Среди них - биометрическая идентификация (отпечаток пальца, распознавание лица), аппаратные токены, а также push-уведомления в мобильных приложениях. Преимущество этих методов в том, что они снижают риск компрометации и значительно повышают уровень безопасности при работе с цифровыми сервисами. Но как отмечают эксперты, "серебряной пули", которая бы полностью защитила пользователей от мошенников, сегодня нет. Главное - никогда не передавать мошенникам конфиденциальную информацию.