Защита учетной записи только с помощью имени пользователя и пароля не очень умна. Оба могут быть украдены, угаданы или взломаны слишком легко. Вот почему двухфакторная аутентификация (2FA) рекомендуется для всех важных точек доступа. Она даже была обязательной для онлайн-банкинга в течение многих лет.
При 2FA для получения доступа к учетной записи, сети или приложению используются два фактора. Один фактор — это функция безопасности, которая может относиться к трем категориям:
- Знание (пароль, ПИН-код)
- Владение (смартфон, приставка Fido2 и т. д.)
- Биометрия (отпечатки пальцев, распознавание лиц и т. д.)
Для того, чтобы 2FA обеспечивала хорошую защиту, два используемых фактора должны относиться к двум разным категориям. Если используется более двух факторов, это называется многофакторной аутентификацией.
2FA очень безопасен, но не неуязвим. Существуют уловки и лазейки, которые хакеры могут использовать, чтобы захватить аккаунт.
1. The man in the middle: кража 2FA через фишинг
Соединение между пользователем и онлайн-аккаунтом фактически защищено безопасным соединением TLS (Transport Layer Security). Технические процедуры разработаны для того, чтобы гарантировать, что никто не сможет взломать это соединение. Тем не менее, злоумышленники могут использовать различные уловки, чтобы попасть между пользователем и его аккаунтом. Это известно как атаки «man in the middle». Они бывают разных видов.
Фишинговые страницы: Одна из самых больших угроз для 2FA — фишинговые атаки. Киберпреступники используют поддельные веб-сайты, чтобы обманом заставить пользователей раскрыть свои данные для входа. Жертвы часто заманиваются на эти фишинговые сайты с помощью электронных писем, SMS или сообщений WhatsApp, которые якобы исходят от законных компаний.
Простые фишинговые страницы «только» крадут данные пользователя для входа в систему. При атаке «человек посередине» веб-сайт также перехватывает код двухфакторной аутентификации. Затем злоумышленник использует данные для немедленного входа в соответствующую службу. Однако это критично по времени, поскольку одноразовый пароль обычно действителен всего несколько секунд.
Соответственно, атака занимает много времени, поскольку злоумышленник должен быть готов, когда потенциальная жертва введет свои данные на поддельном сайте, чтобы войти в систему. Однако, поскольку такие атаки часто могут использоваться для прямой кражи денег, преступники всегда пытаются использовать этот метод.
2. Man in the browser: вредоносное ПО как человек посередине
Вариант техники «man in the browser» использует вредоносное ПО, которое внедряется непосредственно в браузер жертвы. Вредоносный код ждет, пока пользователь войдет в свой банк, включая 2FA, а затем манипулирует переводом от жертвы в фоновом режиме. Примерами такого вредоносного ПО являются Carberp, Emotet, Spyeye и Zeus.
Правильные данные о сумме и получателе перевода отображаются в браузере пользователя. Поэтому они подтверждают их одноразовым паролем. Однако на самом деле вредоносная программа тайно отправила другому получателю и большую сумму в качестве перевода в банк.
Как защитить себя: Почти все банки при запросе одноразового пароля для авторизации повторно отправят вам сумму перевода для проверки. В большинстве случаев также передается IBAN получателя полностью или частично. Всегда очень внимательно проверяйте эти данные.
3. Личный контакт: Вас обманывают и выманивают код
Во многих случаях злоумышленники уже знают имя пользователя и пароль онлайн-аккаунта, поскольку они получили эти данные из коллекции паролей в даркнете. Или они тайно внедрили на ПК жертвы похититель информации, т. е. вредоносное ПО.
То, что злоумышленникам еще нужно для входа в онлайн-аккаунт жертвы, — это второй фактор. Они получают его, позвонив жертве. Они выдают себя за сотрудника банка и утверждают, например, что хотят ввести новую процедуру безопасности. Для этого они утверждают, что им нужна авторизация с использованием процедуры 2FA клиента.
Если в этот момент жертва авторизует действие через 2FA, то она не соглашается на новую процедуру безопасности, а переводит свои деньги на счет злоумышленников.
Как защитить себя: Никогда не передавайте коды 2FA и авторизации другим лицам и не давайте их по поручению звонящего. Настоящие сотрудники сервиса никогда не попросят у вас такую секретную информацию.
Советы по двухфакторной защите
Эти советы сделают вход в сервис с двухфакторной аутентификацией проще и безопаснее.
- Создайте аварийные коды, распечатайте их и храните в надежном месте. Вам следует всегда носить с собой два или три таких кода, когда вы путешествуете.
- Активируйте более одного метода 2FA. Например, используйте приложение аутентификации, а также аппаратный токен. Таким образом, у вас будет резервная копия на случай, если ни приложения, ни аварийных кодов не будет под рукой.
- Не следует использовать коды 2FA через SMS для конфиденциальных аккаунтов. Это связано с тем, что преступники могут украсть SIM-карту или получить коды SMS через фишинг.
- Используйте приложение аутентификации с функцией резервного копирования. Затем вы можете взять приложение, включая все коды, с собой на новый смартфон. В противном случае все службы 2FA придется настраивать заново, если вы переустановите приложение.
4. Подмена SIM-карты: злоумышленники крадут вашу SIM-карту
Некоторое время одноразовые пароли, которые пользователь получает в текстовом сообщении от своего онлайн-аккаунта, считались безопасным методом двухфакторной авторизации. Но затем преступники разработали подмену SIM-карт и опустошили многочисленные онлайн-аккаунты, включая несколько миллионов из защищенных 2FA онлайн-бирж биткоинов. Здесь также предпосылкой является то, что злоумышленник уже знает имя пользователя и пароль жертвы.
При подмене SIM-карты, также известной как угон SIM-карты, злоумышленник получает контроль над номером мобильного телефона жертвы. Злоумышленник заставляет оператора мобильной связи отправить ему новую SIM-карту или eSIM. Злоумышленник активирует ее на своем мобильном телефоне и получает текстовое сообщение с одноразовым паролем для двухфакторной аутентификации.
Злоумышленники часто просто говорят оператору мобильной связи, что они потеряли свой мобильный телефон и запрашивают новую SIM-карту. Это должно быть отправлено на новый адрес. Если оператор мобильной связи не хочет этого, злоумышленники могут дождаться, пока почта придет на правильный адрес жертвы, и опустошить почтовый ящик до фактического получателя.
Конечно, это очень трудоемко для злоумышленников. Однако для жертв, у которых на счету много денег, это, очевидно, стоит усилий преступников.
Как защитить себя: Если возможно, не используйте SMS для 2FA. Одноразовые коды, например из приложения аутентификации, более безопасны.
5. Вредоносное ПО крадет файлы cookie аутентификации
Многие сервисы с двухфакторной авторизацией предлагают вам возможность запомнить интернет-браузер на вашем ПК. Затем вам нужно будет войти в систему только один раз с помощью этого браузера на этом ПК, используя второй фактор. В следующий раз, когда вы войдете в систему, вам либо не понадобятся никакие данные для входа, либо только ваше имя пользователя и пароль.
Это значительно повышает удобство — но увеличивает поверхность атаки. С помощью этого метода служба сохраняет аутентификационный файл cookie на вашем ПК. Он содержит ваши данные для входа в зашифрованном виде. Если злоумышленникам удастся разместить на вашем ПК похититель информации, т. е. вредоносное ПО, они могут украсть файл cookie с данными для входа. Злоумышленник использует файл cookie на своем ПК, чтобы открыть онлайн-сервис без необходимости входа или второго фактора.
Одним из примеров такого похитителя информации является Lumma , который атакует ПК с 2022 года и предлагается на русскоязычных подпольных форумах как «вредоносное ПО как услуга».
Как защитить себя: Конечно, на каждом компьютере Windows должна быть установлена хорошая антивирусная программа. Она должна блокировать Info Stealer. Кроме того, вы можете использовать свои учетные записи с двухфакторным входом, чтобы вам приходилось вводить второй фактор каждый раз при входе в систему. Обычно это настройка по умолчанию.
6. Небезопасные факторы как альтернатива при входе в систему
Распространенной ошибкой при 2FA является выбор небезопасного второго фактора (см. вставку «Обзор двухфакторной аутентификации»). Многие пользователи по-прежнему используют SMS в качестве второго фактора, хотя их онлайн-сервис уже предлагает лучшие методы 2FA. Однако SMS в качестве второго фактора уязвимы для атак, таких как подмена SIM-карты (см. выше).
Электронная почта как второй фактор также рекомендуется только в ограниченной степени. Если только вы сами не защитили свой почтовый ящик с помощью безопасного двухфакторного входа.
Слабые факторы также опасны, если вы используете их только в качестве резерва. Многие онлайн-сервисы предлагают возможность хранения нескольких факторов входа в одной учетной записи. Это также полезно, поскольку вы можете переключиться на другой фактор, если что-то не работает.
Однако злоумышленник может также прибегнуть к одному из других вариантов входа в систему в любое время. И снова применима поговорка: цепь настолько сильна, насколько сильно ее самое слабое звено.
Таким образом, если вы не только защищаете учетную запись одноразовым паролем из приложения аутентификации, но и активируете одноразовый пароль по электронной почте в качестве варианта входа, злоумышленник также может этим воспользоваться.
Как защитить себя: Хорошей идеей будет хранить несколько факторов для входа в ваши сервисы, например одноразовые пароли из приложения аутентификации и пароли. Однако избегайте небезопасных факторов, таких как SMS и электронная почта (см. вставку «Обзор двухфакторной аутентификации»).
Обзор двухфакторной аутентификации
Существуют безопасные и менее безопасные методы входа с использованием двух факторов.
1. Одноразовые пароли
Одноразовые пароли на основе SMS: одноразовый пароль (OTP) отправляется на мобильный телефон пользователя посредством SMS.
Безопасность: SMS-одноразовые пароли относительно небезопасны, поскольку они уязвимы для атак с подменой SIM-карты и атак типа «злоумышленник посередине».
Одноразовые пароли на основе приложений: одноразовый пароль генерируется приложением аутентификации, например Google Authenticator или Aegis Authenticator .
Безопасность: OTP на основе приложений более безопасны, чем SMS OTP, поскольку они не отправляются через внешние сети. Однако они подвержены фишинговым атакам.
Одноразовые пароли на основе электронной почты: одноразовый пароль отправляется пользователю по электронной почте.
Безопасность: Email OTP менее безопасны, чем другие методы, поскольку электронные письма могут быть перехвачены и часто отправляются через менее защищенные сети. Кроме того, учетные записи электронной почты часто становятся целью фишинговых атак.
Push-уведомления: Push-уведомление отправляется в приложение аутентификации (например, Microsoft Authenticator ) на мобильном телефоне пользователя. Пользователь должен согласиться с уведомлением.
Безопасность: Push-уведомления относительно безопасны, поскольку требуют прямого взаимодействия с пользователем. Однако они уязвимы для атак социальной инженерии, когда пользователя обманывают, заставляя подтвердить уведомление.
2. Аппаратные токены
Токены U2F/FIDO2: аппаратные токены на базе USB или NFC (например, Yubikey), основанные на стандартах U2F/FIDO2 .
Безопасность: эти токены обеспечивают очень высокий уровень безопасности, поскольку они используют криптографические ключи для аутентификации и устойчивы к фишингу и атакам типа «человек посередине».
3. Пароли
Пароли: Пароли используются большинством сервисов в качестве дополнительной опции к паролям.
Безопасность: Если ключ доступа настроен как настоящий второй фактор, вход в систему очень безопасен. Однако, как альтернатива паролю, ключи доступа обеспечивают немного большую защиту, чем пароль, поскольку вы можете переключиться на вход с паролем.
4. Биометрия
Отпечатки пальцев и т. д.: для разблокировки или входа в систему используются датчики отпечатков пальцев или биометрическая камера.
Безопасность: Отпечатки пальцев подделать легче, чем думают многие, по крайней мере, при непосредственном контакте с жертвой.
Оценка безопасности и рекомендации
Высочайшая безопасность: аппаратные токены обеспечивают наивысшую безопасность благодаря своей физической природе.
Средний уровень безопасности: пароли, одноразовые пароли на основе приложений, push-уведомления и биометрические данные более безопасны, чем одноразовые пароли по SMS и электронной почте, но уязвимы для таких атак, как социальная инженерия.
Наименее безопасные: одноразовые пароли, отправляемые по SMS и электронной почте, наиболее уязвимы для атак, поэтому их следует избегать.