Эксперты предупредили о новом способе взлома аккаунтов россиян
Специалисты компании F6 сообщили о новой схеме, с помощью которой злоумышленники могут получать доступ к учетным записям пользователей. Речь идет о краже сессионных ключей, которые сохраняются браузером после успешной авторизации на сайте и позволяют избежать повторного ввода логина и пароля.
Как пояснили эксперты, получив такой ключ, злоумышленник может войти в аккаунт жертвы без необходимости проходить процедуру авторизации. Кража сессий осуществляется с помощью вредоносного кода, который может распространяться через расширения браузера или использовать уязвимости программного обеспечения. При этом вредоносные инструменты способны длительное время оставаться незамеченными.
Одним из наиболее распространенных способов реализации подобных атак остается схема «человек посередине». В этом случае создается копия легитимного сайта, через которую проходит весь пользовательский трафик. Пользователь вводит свои данные и проходит двухфакторную аутентификацию, а злоумышленник получает готовый аутентификационный токен, позволяющий получить доступ к учетной записи. Для создания поддельных окон авторизации применяются технологии, напоминающие Browser-in-the-Browser.
По данным специалистов, успех подобных схем во многом связан с невнимательностью пользователей и стремлением сэкономить время. В частности, мошенники могут предлагать установить расширения браузера для получения скидок, бонусов или кэшбэка. После установки таких дополнений злоумышленники получают возможность внедрять шпионское программное обеспечение. Дополнительную угрозу представляют переходы по ссылкам от неизвестных отправителей и скачивание файлов из непроверенных источников.
Эксперты также отметили, что традиционные методы двухфакторной аутентификации не всегда способны предотвратить подобные атаки. SMS-коды могут быть перехвачены через вредоносные программы или уязвимости сетей связи, а одноразовые TOTP-пароли сохраняют актуальность достаточно долго для использования в автоматизированных фишинговых схемах.
Наиболее надежным способом защиты специалисты называют аппаратные ключи безопасности и встроенные криптографические сертификаты, привязанные к конкретному домену. Такие средства не работают на поддельных сайтах, а доступ к закрытым ключам невозможно получить удаленно.