Обход двухфакторной аутентификации с помощью фишинга и OTP-ботов

Вступление

В 2024 году отсутствие возможности настроить двухфакторную аутентификацию — моветон в мире кибербезопасности. Большинство современных интернет-ресурсов предлагают эту опцию в том или ином виде, а некоторые и вовсе не позволяют пользоваться сервисом, не включив ее. Кроме того, в отдельных странах определенные организации по закону обязаны защищать аккаунты пользователей при помощи двухфакторной аутентификации.

К сожалению, популярность этого метода защиты аккаунтов привела к появлению многочисленных способов его взломать или обойти, которые при этом постоянно развиваются и подстраиваются под современные реалии. Конкретные схемы зависят от типа двухфакторной аутентификации, на который они нацелены. Хотя этих типов довольно много, чаще всего в качестве второго фактора используется верификация с помощью одноразовых кодов, или OTP (One Time Password), которые пользователь может получить различными способами — в виде SMS, голосового сообщения по телефону, письма на почту, сообщения в мессенджере от официального бота сервиса или пуш-уведомления от приложения. За этими кодами и охотится большинство онлайн-мошенников.

Злоумышленники могут получать одноразовые пароли различными способами, среди которых есть и сложные многоэтапные схемы взлома. В этой статье мы рассмотрим методы, основанные на социальной инженерии, когда злоумышленники манипулируют жертвой таким образом, чтобы та сама сообщила им код, а также инструменты, которые они используют для автоматизации манипуляций: так называемые OTP-боты и административные панели для взаимодействия с фиш-китами.

Что такое OTP-боты?

Использование OTP-ботов для обхода двухфакторной аутентификации — сравнительно новое явление в мире онлайн-мошенничества, представляющее серьезную угрозу как для пользователей, так и для онлайн-сервисов. OTP-боты — это ПО, запрограммированное перехватывать одноразовые пароли с помощью социальной инженерии.

Типичная схема с использованием OTP-бота для получения кода двухфакторной аутентификации выглядит следующим образом:

1. Злоумышленник завладевает учетными данными жертвы и использует их для входа в ее аккаунт.
2. Жертве на телефон приходит сообщение с одноразовым паролем.
3. OTP-бот звонит жертве и с помощью заготовленного скрипта (сценария разговора) убеждает ее сообщить код.
4. Жертва вводит код на клавиатуре телефона, не прерывая звонок.
5. Код поступает в административную панель или Telegram-бот злоумышленника.
6. Злоумышленник вводит код на нужном ресурсе и получает доступ к аккаунту жертвы.

Как можно видеть, ключевая функция OTP-бота — звонок жертве. Мошенники делают ставку именно на звонок, потому что время действия кода сильно ограничено. Если на сообщение пользователь может долго не отвечать, то по телефону шанс вовремя получить код значительно выше. Кроме того, звонок дает возможность воздействовать на жертву при помощи тембра и интонаций.

Функциональность ботов варьируется от одного скрипта, нацеленного на пользователей конкретной организации, до гибких настроек и широкого выбора скриптов, позволяющих заменить такими ботами целый мошеннический кол-центр. При этом разработчики конкурируют между собой и стараются включить в арсенал бота как можно больше функций за соответствующую цену.

Так, например, один из OTP-ботов предлагает больше десятка функций, среди которых есть круглосуточная техническая поддержка, скрипты на разных языках, возможность использовать разные женские и мужские голоса, а также спуфинг номера телефона.

Функции одного из OTP-ботов

Как правило, OTP-ботами можно управлять либо через специальную панель в веб-браузере, либо через бот в Telegram. Рассмотрим функциональность ботов в Telegram на примере одного из них.

1. Для начала работы с ботом нужно купить подписку. Доступно несколько вариантов подписки в зависимости от набора функций. Самый дешевый план обойдется в 140 долларов за неделю, самый дорогой — в 420 долларов. Оплату бот принимает исключительно в криптовалюте.
   

   Доступные планы подписки на OTP-бот

2. После оплаты появляется возможность создать первый звонок. Настройка звонка обычно происходит после получения учетных данных, но до попытки войти в аккаунт жертвы. Первым делом злоумышленник выбирает, от имени какой организации бот будет звонить пользователю.
   Рассматриваемый образец дает на выбор множество категорий организаций: банки, платежные системы, онлайн-магазины, облачные сервисы, службы доставки, криптобиржи и сервисы электронной почты. Если звонок от сотрудника банка пользователь может ожидать, то звонок от имени провайдера облачного хранилища или электронной почты уже немного выходит за рамки привычной нам картины. Тем не менее социальная инженерия позволяет уговорить жертву выдать код, отправленный любой организацией.При этом стоит отметить, что большое число категорий — это во многом маркетинговый ход: выбирая бот, злоумышленник может предпочесть тот, в котором вариантов больше. В основном же боты все-таки используют для обхода двухфакторной аутентификации финансовых организаций.
   

   Выбор категории организации

3. После выбора категории необходимо вручную указать название организации, от имени которой бот будет звонить жертве.
   

   Название банка вводится вручную

4. Затем нужно также вручную указать имя жертвы, которой будет звонить бот. Это необходимо для того, чтобы сделать звонок более персонализированным.
   

   Имя жертвы вводится вручную

5. Далее идет самый важный шаг — добавление номера телефона жертвы, без которого звонок невозможен.
   

   Номер телефона жертвы вводится вручную

6. Опционально злоумышленник может указать последние четыре цифры банковской карты жертвы, если у него имеются такие данные. Это нужно для того, чтобы вызвать больше доверия у жертвы, — ведь кто еще, кроме сотрудника банка, может знать эти цифры?
   

   Возможность указать последние четыре цифры банковской карты жертвы

7. После заполнения всех деталей можно воспользоваться дополнительными настройками.
   

   Дополнительные настройки звонка

   • Можно активировать функцию спуфинга. Для этого потребуется указать официальный номер телефона организации, от имени которой звонит OTP-бот. Этот номер отобразится на экране телефона жертвы, когда ей поступит звонок. Если не активировать эту функцию, номер будет случайным.
     

     Возможность указать официальный номер организации

   • Также можно выбрать язык, на котором бот будет общаться с жертвой. У описываемого бота на выбор есть 12 языков из разных языковых групп.
     

     Выбор языка

   • После выбора языка бот дает возможность выбрать голос. Все голоса сгенерированы с помощью искусственного интеллекта, есть как женские, так и мужские. Для английского языка бот также предлагает шесть вариантов произношения — американское, британское, новозеландское, австралийское, индийское и южноафриканское.
     

     Выбор голоса

   • Бот позволяет протестировать звонок, если указать в отдельном поле одноразовый номер из запасов злоумышленника.
   • Также бот способен определять, был ли звонок перенаправлен в голосовую почту. В таком случае бот сбрасывает звонок.
   • Рассматриваемый OTP-бот поддерживает кастомные скрипты. Это значит, что злоумышленник может загружать собственные скрипты для организаций, которые отсутствуют в арсенале бота. Бот озвучит эти скрипты в процессе настройки звонка.
8. Последний шаг — это, собственно, сам звонок с выбранными настройками.

Любопытные возможности других OTP-ботов

Как мы уже упоминали, функциональность варьируется от бота к боту. Помимо возможностей, которые мы разобрали, у некоторых OTP-ботов мы наблюдали следующие функции:

• Отправка жертвам SMS-сообщения с предупреждением о звонке от сотрудника определенной организации. Это тонкий психологический прием, позволяющий вызвать доверие пользователя: сначала дать обещание, а затем сдержать его. К тому же тревожное сообщение может заставить жертву волноваться и с нетерпением ждать звонка мошенника.
• Запрос не только одноразовых паролей, но и других данных в ходе звонка. К таким данным могут относиться номер и срок действия банковской карты, CVV, PIN-код, дата рождения, номер социального страхования и т. д.

Как злоумышленники получают исходные учетные данные

Поскольку OTP-бот заточен под кражу второго фактора аутентификации, подключать его имеет смысл, если у злоумышленника уже есть данные жертвы — как минимум логин и пароль от личного кабинета, номер телефона, как максимум полное имя, адрес, данные банковской карты, адрес электронной почты и дата рождения. Эта информация попадает в руки злоумышленников несколькими путями:

• из утечек персональных данных, выложенных в открытый доступ;
• из наборов данных, купленных в даркнете;
• через фишинговые сайты.

Как правило, наиболее актуальные учетные данные злоумышленники получают при помощи фишинга. При этом зачастую они хотят сэкономить время и усилия и в рамках одной атаки добыть как можно больше информации. Мы обнаружили множество фиш-китов, одновременно нацеленных на разные виды персональных данных, включая, казалось бы, совершенно не связанные друг с другом.

Например, фиш-кит может быть нацелен на конкретный банк, но после ввода логина и пароля от личного кабинета жертву попросят также указать адрес электронной почты и пароль от нее. Заполучив эти данные и воспользовавшись OTP-ботом, мошенник сможет взломать как минимум два аккаунта жертвы. Если же пользователь аутентифицируется с помощью электронной почты в других сервисах, масштаб ущерба может вырасти еще больше.

Форма ввода логина и пароля для входа в онлайн-банк

Форма ввода адреса электронной почты и пароля от нее

Фишинг в режиме реального времени

Ранее мы писали о фиш-китах, которыми можно управлять через административные панели. С распространением двухфакторной аутентификации создатели фиш-китов модифицировали панели управления, добавив в них возможность перехватывать одноразовые пароли. Благодаря этому злоумышленники стали способны получать и использовать персональные данные жертвы в режиме реального времени.

Такие атаки представляют собой многоступенчатый фишинг, как правило состоящий из следующих этапов:

1. Жертве приходит сообщение от имени организации (например, банка) о том, что ей необходимо обновить персональные данные в личном кабинете. Сообщение содержит ссылку на фишинговый сайт.
2. Перейдя по ссылке, жертва вводит логин и пароль от личного кабинета. В это же время фишеру приходит уведомление с данными жертвы в Telegram и в административную панель. С помощью полученных данных злоумышленник пытается войти в аккаунт на официальном сайте банка.
   

   Фишинговая страница входа в онлайн-банк

3. Банк отправляет жертве OTP-код в качестве дополнительной верификации. Фишер через административную панель отдает команду отобразить на фишинговом сайте страницу для ввода OTP-кода. Заполучив код, он сможет войти в настоящий личный кабинет жертвы.
   

   Фишинговая форма для ввода одноразового пароля

4. Мошенник может запросить у жертвы дополнительные сведения, которые могут ему понадобиться для дальнейших действий в личном кабинете. У большинства банков есть защита от подозрительных операций, в рамках которой у пользователя запрашивают дополнительную информацию для подтверждения транзакции. Это может быть номер дома жертвы, кодовое слово, номер паспорта и т. п.
   

   Варианты запроса дополнительных деталей в административной панели

5. Мошенник сообщает пользователю, что его данные подтверждены. На самом же деле они успешно сохраняются в административной панели злоумышленника, который может немедленно использовать их для вывода средств.
   

   Административная панель фишера со всеми данными, полученными от жертвы

Статистика

Чтобы оценить потенциальный масштаб ущерба от OTP-ботов, можно обратиться к статистике срабатываний по фиш-китам, нацеленным на банки. За май 2024 года наши продукты предотвратили 69 984 попытки перехода на сайты, сгенерированные этими фиш-китами.

Статистика обнаружений фиш-китов, нацеленных на банки, май 2024 года (скачать)

В рамках исследования мы также подробно изучили 10 многоцелевых фиш-китов, которые использовались для перехвата одноразовых паролей в режиме реального времени. В мае 2024 года наши технологии обнаружили 1262 фишинговые страницы, созданные с помощью исследуемых фиш-китов.

Статистика обнаружений многофункциональных фиш-китов, май 2024 года (скачать)

Пик на первой неделе месяца совпадает со всплеском активности одного из этих фиш-китов.

Выводы

Хотя двухфакторная аутентификация является одним из популярных методов дополнительной защиты аккаунтов от взлома, ее тоже можно обойти. Чтобы получить одноразовый пароль от жертвы, мошенники используют различные приемы и технологии, в том числе OTP-боты и многоцелевые фиш-киты, которыми они управляют в режиме реального времени с помощью административных панелей. В обоих случаях ключевой фактор при краже одноразового кода — согласие пользователя ввести код на фишинговом сайте или во время звонка OTP-бота. Чтобы защитить свои аккаунты от мошенников, следуйте нашим рекомендациям.

• Не переходите по ссылкам из сомнительных писем. Если вам нужно войти в аккаунт на сайте организации, введите адрес вручную или откройте его из закладок.
• Прежде чем ввести учетные данные на сайте, убедитесь, что адрес правильный и не содержит опечаток. Проверьте ссылку с помощью сервиса Whois: если сайт зарегистрирован недавно, велик шанс, что он мошеннический.
• Не говорите и не вводите одноразовый код на клавиатуре телефона во время звонка, какими бы убедительными ни казались слова собеседника. Настоящие банки и другие официальные организации не используют этот способ подтверждения личности.
• Пользуйтесь надежным защитным решением, блокирующим фишинговые страницы.