Доступ к учетной записи по одноразовому, короткоживущему паролю в SMS-сообщении до недавнего времени считался простой и надежной преградой для киберзлодеев. Однако в начале лета Алех МакКоу (Alex MacCaw), сооснователь Clearbit.com, столкнулся с новым механизмом обмана пользователей. О чем и поспешил поведать Интернет-сообществу после проверки деталей.

Как это работает

Хакеры любыми удобными путям получают логин и пароль от аккаунта некоего пользователя в сервисе Google – зачастую тот полагается на двухфакторную аутентификацию и не слишком осторожен. Узнать номер телефона, к которому привязан аккаунт, тоже труда не составляет. Но со взломом никто не торопится, вместо этого сначала формируется послание в стиле официальных сообщений сервиса с фальшивым уведомлением. Дескать, была предпринята попытка несанкционированного входа в вашу учетную запись, но мы поймали хулиганов за руку. Чтобы избежать блокировки аккаунта и доказать, что вы – его истинный владелец, пришлите нам проверочный код из следующего SMS.

Сообщение содержит достоверные данные – IP-адрес и логин, его стиль копирует реальные послания техподдержки Google, так что жертва обеспокоена, но подвоха не ощущает, мысли скользят в ином направлении. Далее все разыгрывается по минутам, так как срок жизни кода невелик:

• хакеры инициируют вход в аккаунт и получают требование ввода кода
• SMS с ним приходит на номер телефона жертвы в штатном порядке
• код доверчиво пересылается хакерам
• происходит верификация и вуаля

Фактически, вместо факта взлома системы безопасности имеет место обман, выманивание у доверчивого пользователя конфиденциального ключа. Претензии к Google? За что – двухфакторная аутентификация сработала так, как и описано в стандарте и пользовательском соглашении. Другое дело, что когда ее создавали, не подумали о «защите от дурака», как бы обидно это не звучало для миллионов людей.

ПО ТЕМЕ: 

• Как установить пароль на Заметки в iOS на iPhone или iPad.
• 25 худших паролей 2015 года.

Что можно сделать?

Ключевой информацией для взлома является связка логин-пароль – если хакерам есть, за что зацепиться, появляется смысл начать атаку. Эти данные они могут выудить тысячей и одним способов, но зачастую страдают самые беспечные пользователи. Например, Марк Цукерберг, оконфузившийся своим супер-паролем «dadada» в нескольких аккаунтах совсем недавно. Гигантские базы данных регулярно воруются и утекают в Сеть – возьмите за привычку использовать разные, красивые и сложные пароли, а также менять их хотя бы раз в квартал, а не когда станет поздно и обидно.

Алекс МакКоу также рекомендует вчитываться в тексты сообщений от роботов сервисов, пусть вы и получаете их десятками на дню. А вдруг вовремя обратите внимание, что адресатом указан Facebook, а ваш аккаунт на Яндексе или в Gmail? Злоумышленники постоянно меняют личины, но из-за мелких нестыковок в схеме работы их можно вывести на чистую воду. Если просят перейти по ссылке – вглядитесь в символы, это может быть фишинговая страничка. А если есть сомнения хоть в чем-то, лучше лишний раз оповестить службу безопасности. Это проще, чем отвоевывать свой аккаунт назад.