Bankarske institucije u Singapuru imaju tri mjeseca da ukinu upotrebu jednokratnih lozinki (OTP) u svrhu provjere autentičnosti prilikom prijavljivanja na online račune kako bi se smanjio rizik od phishing napada.
Odluku su objavile Monetarne vlasti Singapura (MAS) i Udruženje banaka Singapura (ABS) 9. jula 2024. godine.
“Kupci koji su aktivirali svoj digitalni token na svom mobilnom uređaju morat će koristiti svoje digitalne tokene za prijavu na bankovne račune putem pretraživača ili aplikacije za mobilno bankarstvo”, kažu u MAS-u.
„Digitalni token će potvrditi autentičnost prijavljivanja korisnika bez potrebe za OTP-om koji prevaranti mogu ukrasti ili prevariti klijente da otkriju.“
MAS takođe poziva kupce da aktiviraju svoje digitalne tokene kako bi se zaštitili od napada koji su dizajnirani da ukradu akredative i otmu njihove račune zbog provođenja finansijske prevare.
“Ova mjera pruža klijentima dalju zaštitu od neovlaštenog pristupa njihovim bankovnim računima”, rekao je Ong-Ang Ai Boon, direktor ABS-a. “Iako mogu izazvati određene neugodnosti, takve mjere su neophodne kako bi se spriječile prevare i zaštitili kupci.”
Dok su OTP-ovi prvobitno uvedeni kao oblik autentikacije drugog faktora (2FA) kako bi se pojačala sigurnost računa, cyber kriminalci su osmislili bankarske trojance, OTP botove i phishing komplete koji su u stanju prikupiti takve kodove koristeći slične stranice.
OTP botovi, dostupni putem Telegrama i koji se oglašavaju između 100 i 420 dolara, podižu društveni inženjering na viši nivo pozivajući korisnike i uvjeravajući ih da unesu 2FA kod na svoje telefone kako bi zaobišli zaštitu računa.
Važno je napomenuti da su takvi botovi uglavnom dizajnirani za pljačku žrtvinog OTP koda, što zahtijeva da prevaranti dobiju valjane akredative na druge načine kao što su kršenje podataka, skupovi podataka koji su dostupni za prodaju na dark webu i web stranice za prikupljanje akredativa.
“Ključni zadatak OTP bota je da pozove žrtvu. Prevaranti računaju na pozive, jer verifikacioni kodovi važe samo ograničeno vrijeme”, rekla je istraživačica cyber threat kompanije Kaspersky Olga Svistunova u nedavnom izveštaju.
“Dok poruka može ostati neodgovorena neko vrijeme, pozivanje korisnika povećava šanse za dobivanje koda. Telefonski poziv je takođe prilika da pokušate postići željeni učinak na žrtvu tonom glasa.”
Prošle sedmice, SlashNext je otkrio detalje kompleta alata za krađu identiteta “s kraja na kraj” nazvanog FishXProxy koji, iako je navodno namijenjen “samo u obrazovne svrhe”, snižava tehničku traku za potencijalne hakere koji žele pokrenuti phishing kampanje u velikim razmjerima dok zaobilaze odbranu.
„FishXProxy oprema cyber kriminalcima ogroman arsenal za višeslojne phishing napade putem e-pošte“, napominje kompanija. “Kampanje počinju s jedinstveno generisanim vezama ili dinamičkim prilozima, zaobilazeći početnu kontrolu.”
“Žrtve se tada suočavaju s naprednim antibot sistemima koji koriste Cloudflareov CAPTCHA, filtrirajući sigurnosne alate. Pametan sistem preusmjeravanja prikriva prava odredišta, dok postavke isteka stranice ometaju analizu i pomažu u upravljanju kampanjom.”
Još jedan dodatak vrijedan pažnje FishXProxy-u je korištenje sistema praćenja zasnovanog na kolačićima koji omogućava napadačima da identificiraju i prate korisnike u različitim projektima ili kampanjama za krađu identiteta. Takođe može kreirati dodaci zlonamjernih datoteka koristeći tehnike krijumčarenja HTML-a koje omogućavaju izbjegavanje otkrivanja zaobilaznih koraka.
“Krijumčarenje HTML-a je prilično efikasno u zaobilaženju sigurnosnih kontrola perimetra kao što su pristupnici e-pošte i web proksiji iz dva glavna razloga: zloupotrebljava legitimne karakteristike HTML5 i JavaScript-a i koristi različite oblike kodiranja i šifriranja,” rekao je Cisco Talos.
Porast mobilnog zlonamjernog softvera tijekom godina od tada je takođe podstakao Google da predstavi novi pilot program u Singapuru koji ima za cilj spriječiti korisnike da učitavaju sa strane određene aplikacije koje zloupotrebljavaju dozvole za Android aplikacije za čitanje OTP-ova i prikupljanje osjetljivih podataka.
Izvor:The Hacker News