Сотрудники компании F6 поделились информацией о новом методе мошенничества. Суть схемы заключается в краже сессионных ключей, что происходит после того, как пользователь авторизовался на легитимном веб-ресурсе. Таким образом, браузер сохраняет доступ, чтобы избежать повторного ввода учетных данных. Похитив этот ключ, злоумышленник может получить доступ к аккаунту жертвы. Кража сессий осуществляется посредством вредоносного кода, внедряемого через расширения браузера или эксплуатируя уязвимости, и такой код может действовать незаметно в течение длительного времени.
Наиболее часто встречающийся вид атаки — «человек посередине». При таком сценарии создается поддельная копия сайта, перехватывается весь трафик. Жертва вводит свои данные, проходит двухфакторную аутентификацию, а в это время хакер получает готовый аутентификационный токен. Для создания обманных окон входа применяются технологии, схожие с Browser-in-the-Browser.
Распространенными причинами столь успешных взломов становятся излишняя доверчивость пользователей и их стремление к экономии времени, особенно во время акций и распродаж. Мошенники предлагают пользователям установить расширения для получения скидок или кэшбэка, тем самым давая разрешение на установку шпионского программного обеспечения. Опасность также представляют переходы по ссылкам, полученным от неизвестных отправителей, и загрузка файлов из сомнительных источников.
Эксперты предупреждают, что SMS-сообщения и одноразовые пароли (TOTP) не обеспечивают достаточную защиту. SMS-коды могут быть перехвачены через вредоносное ПО или из-за уязвимостей в сетях мобильной связи. TOTP-коды же сохраняют актуальность достаточно долго, чтобы быть использованными в автоматизированных фишинговых атаках. Истинной защитой считаются только аппаратные ключи или встроенные криптографические сертификаты, привязанные к домену сайта. На поддельных ресурсах такие ключи не работают, а удаленно получить доступ к закрытому ключу невозможно, как подчеркивает «Российская газета».
