Metoda ingenioasă prin care poți fi păcălit să divulgi hackerilor codurile 2FA pentru validarea tranzacțiilor

Autor: Aurelian Mihai 08.11.2021
Metoda ingenioasă prin care poți fi păcălit să divulgi hackerilor codurile 2FA pentru validarea tranzacțiilor

Sistemul de autentificare în doi pași, care dublează numele de utilizator și parola cu un cod de securitate recepționat doar pe telefonul aflat în posesia ta, pot oferi protecție excelentă împotriva atacurilor informatice îndreptate împotriva ta, atât timp cât respecți anumite reguli de bază. Spre exemplu, nu ar trebui să divulgi nimănui codul de securitate primit prin mesaj SMS, pe email sau generat în aplicația 2FA (Google Authenticator) dinainte configurată pe telefonul tău, acesta fiind intenționat strict pentru tastarea directă în aplicația de hame banking sau interfața de acces a serviciului respectiv.

Problemele apar când utilizatorul cade pradă atacurilor de tip phishing, fiind atras pe versiuni contrafăcute ale site-ului sau aplicației căutate, ajungând să divulge datele de login împreună cu codul 2FA mult râvnit de hackeri. Însă aceasta este strategie relativ învechită și ineficientă, majoritatea potențialelor victime știind deja să evite link-uri suspicioase primite pe email sau aplicații de mesagerie, și în general să fie vigilente la orice situație care ar putea ascunde o înșelătorie.

Hackerii știu și ei foarte bine că procurarea datelor personale, cum ar fi nume de utilizator, parole și chiar numărul de telefon, nu oferă în mod automat acces la conturile persoanei respective. Dar dacă victima este convinsă să-și divulge codurile de securitate 2FA, conturile bancare pot fi golite în câteva secunde.

Pornind de la ideea că furnizorii anumitor servicii, inclusiv instituții bancare, folosesc sau au folosit în trecut apelarea directă pentru transmiterea codurilor 2FA, hackerii întreprinzători au pus la cale propriul „serviciu de asistență” complet automatizat. Astfel, tentativele de accesare clandestină a conturilor parțial compromise prin aflarea datelor personale sunt asistate cu un robot prevăzut cu sinteză vocală care apelează potențialele victime.

Schema imită alertele primite uneori chiar din partea angajaților instituțiilor bancare, în care posesorul de card este informat că au fost sesizate tranzacții suspecte și întrebat dacă dorește blocarea preventivă a cardului și investigarea potențialului incident. Si aici, robotul menționează o anumită tranzacție cu o sumă fictivă de bani, cu scopul de alarmare a victimei. Diferența crucială este că pentru blocarea presupusei tranzacții, robotul solicită mai întâi validarea identității persoanei apelate, ca și deținător de drept al contului respectiv, tastând codul pe care chiar robotul/furnizorul serviciului i l-ar fi trimis pe dispozitivul personal.

În realitate, aceasta este doar un fals sentiment de legitimitate, indus victimei prin faptul că robotul sau hackerii aflați în spatele atacului îi accesează chiar atunci contul de home banking, sau PayPal, folosind datele de login procurate prin alte mijloace. Tastarea codului de securitate în cadrul apelului reprezentând doar ultima etapă a atacului, în urma căruia presupusele tranzacții fictive devin cât se poate de reale, câteva zeci de secunde mai târziu.

Pentru a asigura reacția cât mai întârziată a victimei, robotul informează că ar putea dura câteva zile pentru restituirea tranzacțiilor frauduloase, oferind până și un număr referință pentru ”sesizarea” înregistrată automat. Abia mult mai târziu, când victimele contactează în mod direct reprezentanții instituției bancare află că au fost victima unei înșelătorii, dar și că au șanse minime de restituire a fondurilor pierdute, pe motiv că frauda s-a produs prin divulgarea personală a datelor de acces și din vina directă a băncii emitente.