Мошенники научились обходить аутентификацию через СМС
Аутентификация по коду из СМС считается одним из самых надежных способ защиты платежных операций. У большинства компании пересылаемый код генерируется для каждой операции отдельно и действует непродолжительное время. Это позволяет исключить возможность подбора кода ботами и алгоритмами.
До недавнего времени считалось, что подобный способ безупречен. Пользователям не хватило бы времени, чтобы передать код мошеннику для проведения платежных операций. Но это не оставило мошенников, и они начали экспериментировать. Поэтому некоторые компании и платежные системы ограничили срок актуальности своих кодов до нескольких минут. В ответ злоумышленники придумали методы, позволяющие им получать коды аутентификации практически мгновенно.
Об одном из них в интервью газете «Известия» рассказал руководитель отдела развития методов фильтрации контента в ведущей международной компании, специализирующейся на разработке защит от киберугроз, Алексей Марченко.
По словам эксперта, аферисты научились обходить двухфакторную аутентификацию по коду из СМС для подтверждения платежный операций.
Потенциальной жертве направляют сообщение с предложением продлить страховку. В тексте указаны все личные данные об автомобиле человека, а также ссылка на якобы оплату страхования. Когда жертва переходит по ссылке и вводит данные банковской карты, появляется страница с надписью: «Формируется СМС-код». Далее человеку приходит код от банка, и, при его вводе, происходит денежный перевод мошенникам.
Марченко уточнил, что данное сообщение пользователь воспринимает как СМС для оплаты, однако на самом деле это сообщение для подтверждения перевода денег, инициированного мошенниками.
Популярность аутентификации с помощью SMS-сообщений обусловлена необходимостью обеспечения безопасности мобильных средств коммуникации. Процедура такой аутентификации включает в себя следующие шаги:
- Ввод имени пользователя и пароля
- Сразу после этого PhoneFactor(служба безопасности) присылает одноразовый аутентификационный ключ в виде текстового SMS-сообщения.
- Полученный ключ используется для аутентификации
Привлекательность данного метода заключается в том, что ключ получается не по тому каналу, по которому производится аутентификация (out-of-band), что практически исключает атаку типа «человек посередине». Дополнительный уровень безопасности может дать требование ввода PIN-кода мобильного средства.
Данный метод получил широкое распространение в банковских операциях через интернет.
Стоит помнить, что сейчас существует многоженство способов обойти любую систему аутентификации. Все они основаны на обмане владельцев средств. Иногда, чтобы не стать жертвой достаточно проверить платежные реквизиты или сделать дополнительный звонок.
Самые последние новости в нашей группе в Telegram, подписывайтесь