Выявлен новый способ взлома двухфакторной аутентификации

Лаборатория кибербезопасности Servicepipe выявила новый способ атаки, позволяющий обходить механизмы двухфакторной аутентификации для входа в различные аккаунты по одноразовому коду (OTP) из sms, рассказал «Ведомостям» ее представитель. Таким образом злоумышленники могут получить доступ к чувствительным персональным данным пользователя, в том числе к платежной информации, указал он.

Servicepipe обнаружила новый способ во время одной из отраженных атак типа sms-бомбинга (массовых запросов на отправку кодов, изначально направленных на увеличение расходов сервисов) на одного из клиентов, чье название не раскрывает.

В ходе анализа атаки в лаборатории специалисты Servicepipe обнаружили, что при незначительной модификации логики автоматизированные боты способны не просто генерировать sms-нагрузку, но и получать через подбор код для авторизации.

Специалисты выявили, что множественная отправка кодов из sms и тем самым нанесение прямого финансового ущерба атакуемой организации (она платит за sms) — это лишь следствие sms-бомбинга злоумышленников. Истинная цель новой атаки ботов — подобрать значения коротких ОТР и войти в аккаунты, поясняет представитель лаборатории.

При использовании коротких OTP-кодов и недостаточных защитных механизмах вероятность успеха существенно возрастает, отмечает он. Это компрометирует привычную и массово используемую схему входа по номеру телефона и sms-коду. То есть речь идет не только о финансовых потерях бизнеса на sms-рассылках, но и о фундаментальном риске для безопасности пользовательских данных, констатирует он.

Проблема носит системный характер и затрагивает широкий класс сервисов, полагающихся на OTP как основной механизм аутентификации, говорит старший разработчик-исследователь Servicepipe Алексей Верховский. В том числе такая атака опасна для банковской сферы, так как позволяет осуществлять незаконный вход в личные кабинеты пользователей, добавляет руководитель проектов компании «Интеллектуальная аналитика» Тимофей Воронин.

В зоне наибольшего риска находятся платформы, где идентификация через мобильный телефон является не просто опцией, а главным цифровым ключом, рассуждает председатель совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров. Это в первую очередь сервисы с упрощенной регистрацией, такие как каршеринг, агрегаторы такси, доставка еды, маркетплейсы и небольшие банки, которые выдают микрозаймы и оформляют карты удаленно, перечисляет он. Бизнес-модели таких сервисов нацелены на скорость, поэтому они не требуют сложных паролей, а используют номера телефона и OTP-код как логин и пароль для входа, поясняет Бедеров. Кроме того, их архитектура не была рассчитана на то, что злоумышленник сможет автоматизированно инициировать вход и так же автоматизированно вытащить код в обход владельца номера, отмечает эксперт.

Под наибольший риск в части обхода механизмов двухфакторной аутентификации попадают сервисы, которые используют короткие временные коды из 4 и менее символов, а также схему «4 цифры звонящего номера», добавляет старший инженер технического расследования центра исследования киберугроз Solar 4RAYS Денис Чернов.

Фото: pixabay

Теги по теме

Банкам поднимают планку кибербезопасности из-за активности мошенников

Севастопольские вузы позвали в университетскую лигу по кибербезопасности

Банки намерены усложнить россиянам снятие наличных

Крымский оператор связи «СимСтар» подвергся масштабной хакерской атаке