Беззащитный второй фактор
Мошенники нашли новый способ взлома двухфакторной аутентификации при входе в аккаунты. Это может привести не только к краже платежных данных пользователя, но и полной компрометации его цифровой личности, предупреждают эксперты
Лаборатория кибербезопасности Servicepipe выявила новый способ атаки, позволяющий обходить механизмы двухфакторной аутентификации для входа в различные аккаунты по одноразовому коду (OTP) из sms, рассказал «Ведомостям» ее представитель. Таким образом злоумышленники могут получить доступ к чувствительным персональным данным пользователя, в том числе к платежной информации, указал он.
Servicepipe обнаружила новый способ во время одной из отраженных атак типа sms-бомбинга (массовых запросов на отправку кодов, изначально направленных на увеличение расходов сервисов) на одного из клиентов, чье название не раскрывает.
Суть атаки
В ходе анализа атаки в лаборатории специалисты Servicepipe обнаружили, что при незначительной модификации логики автоматизированные боты способны не просто генерировать sms-нагрузку, но и получать через подбор (брутфорс-атака) код для авторизации. Специалисты выявили, что множественная отправка кодов из sms и тем самым нанесение прямого финансового ущерба атакуемой организации (она платит за sms) – это лишь следствие sms-бомбинга злоумышленников. Истинная цель новой атаки ботов – подобрать значения коротких ОТР и войти в аккаунты, поясняет представитель лаборатории.
При использовании коротких OTP-кодов и недостаточных защитных механизмах вероятность успеха существенно возрастает, отмечает он. Это компрометирует привычную и массово используемую схему входа по номеру телефона и sms-коду. То есть речь идет не только о финансовых потерях бизнеса на sms-рассылках, но и о фундаментальном риске для безопасности пользовательских данных, констатирует он.
Кто в опасности
Проблема носит системный характер и затрагивает широкий класс сервисов, полагающихся на OTP как основной механизм аутентификации, говорит старший разработчик-исследователь Servicepipe Алексей Верховский. В том числе такая атака опасна для банковской сферы, так как позволяет осуществлять незаконный вход в личные кабинеты пользователей, добавляет руководитель проектов компании «Интеллектуальная аналитика» Тимофей Воронин.
