Аналитик раскрыл, почему одноразовый пароль становится главным ключом к аккаунту
- Сгенерировано с помощью ИИ
Об этом рассказал в беседе с RT заведующий лабораторией доверенного искусственного интеллекта РТУ МИРЭА Юрий Силаев.
«Ввод этой комбинации становится для системы финальным сигналом: операцию выполняет тот, кто вправе управлять аккаунтом. Передача цифр другому человеку фактически означает передачу возможности завершить идентификацию. Сервис технически воспринимает получателя кода как законного пользователя и открывает ему те же права, что и владельцу профиля. С этого момента ему доступны действия по управлению профилем наравне с владельцем», — предупредил собеседник RT.
Отмечается, что именно эта особенность делает одноразовый пароль целью для мошенников.
«Пока код не введён, сервис не завершает процедуру и не открывает доступ, поэтому злоумышленники пытаются получить цифры от самого пользователя и тем самым пройти последний этап проверки его руками. Обычно к моменту получения сообщения попытка входа уже выполняется. Мошенники могут использовать ранее похищенные данные или запустить восстановление пароля. Если владелец сообщает комбинацию, сервис воспринимает её как подтверждение и предоставляет доступ к настройкам аккаунта», — разъяснил он.
По словам Силаева, одноразовый пароль открывает для мошенников гораздо больше возможностей, чем принято думать.
«Получив его, они могут задать новый постоянный пароль, изменить контактные данные, отключить дополнительные способы защиты. После этого вернуть контроль быстро становится трудно: инфраструктура сервиса уже «узнаёт» нового участника как легитимного владельца. С технической точки зрения в этот момент происходит смена доверенного пользователя — и дальнейшие действия злоумышленника выглядят для системы обычной работой хозяина аккаунта», — добавил специалист.
Затем события развиваются стремительно, предостерёг он.
«Обновляются параметры безопасности, добавляются новые каналы восстановления, иногда инициируются операции в других сервисах, где используется тот же номер. Человек обнаруживает проблему только тогда, когда привычные способы входа перестают работать. Срабатывает и эффект повседневности. Коды запрашиваются часто, поэтому сама операция кажется рутинной и выполняется почти автоматически. Этим пользуются мошенники, создавая ощущение срочности и предлагая правдоподобное объяснение», — отметил аналитик.
Внимание переключается на разговор, а сама комбинация перестаёт восприниматься как цифровой эквивалент подписи, хотя именно она в этот момент решает, кто получит власть над профилем, добавил эксперт.
«При этом сотрудникам компаний содержание сообщения не требуется. Для них имеет значение лишь результат проверки — успешна она или нет. Если вас просят сообщить код, это означает попытку пройти идентификацию за чужой счёт. Всегда важно помнить: код предназначен только для ввода в том сервисе, куда пользователь обратился самостоятельно. Любая просьба назвать его вслух, переслать или продиктовать означает передачу цифрового ключа третьему лицу», — заключил Силаев.
Ранее россиянам объяснили, как распознать подозрительную ссылку без перехода по ней.