Одноразові паролі (OTP) можуть бути не такими безпечними, як здається, оскільки зростання кількості OTP-ботів кидає темну тінь на те, що має бути важливою функцією безпеки. Зважаючи на те, наскільки вони поширені, зростаюча поширеність OTP-ботів, націлених на ці системи, викликає ще більше занепокоєння. Ось усе, що вам потрібно знати про них, щоб уберегтися від цієї загрози.
Що таке одноразові паролі?
Щоб зрозуміти роботи OTP, вам спочатку потрібно зрозуміти самі OTP. Як випливає з назви, одноразовий пароль — це тимчасовий код для входу, який ви отримуєте після введення інших облікових даних, наприклад адреси електронної пошти та пароля. Зазвичай вони тривають лише від 30 до 60 секунд, перш ніж більше не надають доступ до облікового запису.
Ідея полягає в тому, щоб зупинити людей, які могли вкрасти, здогадатися або підмінити ваш пароль. Надсилаючи одноразовий код за допомогою дзвінка, текстового повідомлення або спеціальної мобільної програми, служба гарантує, що особа, яка входить, також має доступ до надійного пристрою. Викрасти пароль порівняно легко, але навряд чи злочинець володіє вашим паролем і телефоном.
Як працюють боти OTP?
Одноразові паролі стали настільки поширеними, що деякі телефони тепер автоматично видаляють ці коди підтвердження, очищаючи вхідні. Хоча це має означати, що ваші облікові записи в Інтернеті безпечніші, ніж будь-коли, це робить самі системи OTP мішенню для кіберзлочинців. Роботи OTP націлюються на ці системи одним із двох способів.
Перший і найпоширеніший спосіб роботи OTP-ботів — обманним шляхом змусити користувачів розкрити їхні одноразові коди. Для цього вони часто видають себе за службу, у яку намагаються ввійти. Уявіть, що кіберзлочинець намагається увійти у ваш рахунок онлайн-банкінгу. Коли вони введуть ваші облікові дані, бот надішле вам текстове повідомлення, електронну пошту або зателефонує вам, видаючи себе за банк і запитує ваш код.
Оскільки боти діють миттєво, цей запит має надійти одночасно з повідомленням із вашим кодом, тому він може не здаватися підозрілим. Потім ви можете відповісти одноразовим паролем, випадково надіславши його хакеру, який потім зможе використати його для доступу до вашого облікового запису.
Інший спосіб роботи ботів OTP — перехоплення повідомлення OTP до того, як воно досягне вас. У разі успішного результату цей метод може з меншою ймовірністю викликати тривогу, але його важче застосувати. Є причина чому Щорічний звіт Verizon про розслідування витоку даних виявили, що більшість атак пов’язані з людським елементом — люди часто є найслабшою ланкою.
Як захиститися від OTP-ботів
Атаки OTP-ботів викликають тривогу, але ви можете їх зупинити. Не забувайте завжди перевіряти, перш ніж довіряти чомусь, і робіть помилку, не відповідаючи на небажані запити.
У цьому контексті це означає перевірку у вашому банку чи іншій службі, щоб дізнатися, чи звертаються вони коли-небудь щодо одноразових паролів без дій з вашого боку. Більшість цього не робить, тому, як правило, краще не відповідати на запит OTP, якщо ви нічого не намагалися ввійти.
Якщо доступно, вам слід увімкнути стійкі до фішингу функції MFA, хоча вони ще не є поширеними. Стійкий до фішингу MFA усуває людський елемент із рівняння, замість цього використовує криптографію та автентифікацію пристрою для перевірки спроб входу. Таким чином ви знатимете, що будь-які запити OTP є шахрайством, оскільки справжня служба їх не використовуватиме.
Навіть якщо такий тип MFA недоступний, ви можете ввімкнути інші фактори ідентифікації, окрім OTP. Біометрія, як-от розпізнавання обличчя або сканування відбитків пальців, є чудовим варіантом. Хоча можна обійти біометричну автентифікацію, це суто технічний і не такий поширений, як атаки, орієнтовані на пароль, тому ці фактори все ще безпечніші, ніж одноразові паролі.
Нарешті, завжди слідкуйте за підозрілою діяльністю. Якщо ви отримали сповіщення про спробу входу, яку ви не пам’ятаєте або не знаєте, що це були не ви, негайно зверніться до відповідної служби. Так само змініть свої паролі та зв’яжіться з компанією, якщо ви помітите активність в облікових записах, яких ви не пам’ятаєте. Швидка дія є ключем до припинення атак, перш ніж вони завдадуть значної шкоди.
Обізнаність — перший крок до безпеки
Дізнатися про OTP-ботів – це перший крок у захисті від них. Коли ви знатимете, чого слід остерігатися, ви зрозумієте, як залишатися в безпеці.
Пам’ятайте, що жодна система безпеки не є надійною на 100 відсотків. Одноразові паролі та інші методи MFA є важливою складовою гарної кібербезпеки, але вони не ідеальні. Отже, ви завжди повинні підходити до речей з обережністю та стежити за підозрілою діяльністю.