В последнее время киберпреступники значительно усовершенствовали методы своих атак, используя сложные схемы по перехвату одноразовых кодов подтверждения (OTP) для получения доступа к банковским счетам и цифровым кошелькам жертв.
Основным инструментом для мошенников стали автоматизированные телефонные звонки, где злоумышленники, самостоятельно или при помощи предзаписанных роботизированных реплик, представлялись службой безопасности известных брендов и убеждали пользователей сообщить одноразовый SMS-код, якобы для защиты аккаунта от мошеннических действий.
Операция под кодовым названием Estate, запущенная в виде отдельного сервиса в середине 2023 года, позволила сотням злоумышленников ежедневно совершать тысячи автоматизированных робозвонков и получать несанкционированный доступ ко множеству учётных записей путём обхода многофакторной аутентификации (MFA).
Основной целью атак стали банковские аккаунты, кредитные карты и онлайн-сервисы, включая Amazon, PayPal и Coinbase. Большинство жертв находились в Соединённых Штатах.
Ярким событием в борьбе с подобного рода мошенничеством стала недавняя ошибка, допущенная администраторами Estate, которая привела к утечке внутренней базы данных сервиса, содержащей информацию как о создателе мошеннической операции, так и об его сообщниках. А “на десерт” исследователям достались данные обо всех мошеннических звонках, включающих подробные логи атак.
Утекшая база данных предоставила исследователям безопасности свежий взгляд на механизмы работы перехвата одноразовых кодов, раскрыв уязвимости в системах многих крупных компаний.
Примечательно, что Estate, как и многие другие современные мошеннические инструменты, позиционируется в Интернете как пентестерский сервис, что позволяет ему вполне легально функционировать в киберпространстве.
Тем не менее, его авторы всеми возможными способами пытались скрыть веб-сайт из поисковой выдачи, а доступ старались выдавать только по приглашениям, чтобы случайно не запустить “крота” в своё мошенническое сообщество.
Эллисон Никсон из ИБ-компании Unit 221B подчеркнула, что такие сервисы упрощают киберпреступную деятельность, делая её более эффективной и доступной. Она призывает к более активным действиям правоохранительных органов для борьбы с этим явлением.
По её словам, онлайн-мошенничество, в том числе с использованием сервиса Estate, стало осознанным выбором для многих молодых людей, которые видят в этом простой способ заработка. Именно поэтому правоохранители должны сделать всё возможное, чтобы заблокировать любые возможности для юных любителей “лёгкой наживы”.
Лучшей защитой от подобных мошеннических кампаний является рекомендация никогда не предоставлять личные данные в ответ на непрошенные звонки, вне зависимости от того, кто звонит и кем представляется. Лишь повышенная бдительность поможет избежать обмана в эпоху столь стремительного развития цифровых технологий.