Երկգործոն նույնականացման մեթոդի տարածվածությունը հանգեցրել է այն կոտրելու կամ շրջանցելու բազմաթիվ եղանակների հայտնվելուն: «Կասպերսկի» ընկերության տվյալներով՝ որպես երկրորդ գործոն առավել հաճախ օգտագործվում է մեկանգամյա կոդերի՝ OTP (One Time Password) միջոցով հաստատումը։ Դրանք կարելի է ստանալ տարբեր եղանակներով՝ SMS-ի, հեռախոսով ձայնային հաղորդագրության, փոստ ուղարկված նամակի, ծառայության պաշտոնական բոտից մեսենջերում հաղորդագրության կամ հավելվածից հրահանգների ծանուցման տեսքով: Այս կոդերն էլ հենց ցանկանում է ձեռք գցել առցանց խարդախների մեծամանությունը։ Օրինակ՝ կոդերը ձեռք գցելու համար նրանք օգտագործում են OTP բոտեր՝ ավտոմատացված ԾԱ, որը կարող է օգտատերերից մեկանգամյա գաղտնաբառեր կորզել՝ սոցիալական ինժեներիայի օգտագործմամբ սխեմաներում։
«Կասպերսկի» ընկերության Հայաստանի ներկայացուցչությունից նշում են, քանի որ OTP բոտը նախատեսված է նույնականացման երկրորդ գործոնը գողանալու համար, իմաստ ունի միացնել այն, եթե չարագործն արդեն ունի զոհի տվյալները՝ առնվազն անձնական օգտահաշվի մուտքանունն ու գաղտնաբառը, ինչպես նաև հեռախոսի համարը: Այս տեղեկատվությունը չարագործները կամ գտնում են բաց աղբյուրներում, արտահոսած և հրապարակված տվյալների բազաներում, կամ գնում են այն դարկնետից, կամ կորզում են ֆիշինգային կայքերում:
Այնուհետև խարդախը մուտք է գործում ուրիշի օգտահաշիվ և ստանում OTP կոդ մուտքագրելու հարցում: Զոհի հեռախոսին գալիս է մեկանգամյա գաղտնաբառով հաղորդագրություն։ OTP-բոտը զանգահարում է օգտատիրոջը և նախապես պատրաստված սկրիպտի օգնությամբ համոզում է մուտքագրել ստացված կոդը։ Զոհը հենց զանգի ընթացքում հեռախոսի ստեղնաշարով հավաքում է կոդը: Այն ուղարկվում է չարագործի Telegram-ի բոտ, ով այդպիսով հասանելիություն է ստանում զոհի օգտահաշվին։
Խարդախների հաջողությունը կախված է այն բանից, թե որքան համոզիչ կլինի բոտը. մեկանգամյա կոդերի գործողության ժամկետը խիստ սահմանափակ է, և գործող կոդը հեռախոսազրույցի ընթացքում ստանալու հնարավորությունը շատ ավելի մեծ է: Չարագործներն ամեն ջանք գործադրում են, որպեսզի զոհը հավատա զանգի օրինականությանը, ուստի որոշ OTP բոտեր հեռախոսահամարը հավաքելուց առաջ զոհերին ուղարկում են SMS հաղորդագրություններ՝ առաջիկա զանգի մասին նախազգուշացմամբ: Դա հոգեբանական նուրբ հնարք է։ Դրա նպատակն օգտատիրոջ վստահությունը շահելն է. նախ ինչ-որ բան խոստանալ, ապա կատարել խոստումը:
«Երկգործոն նույնականացումը շրջանցելու համար OTP բոտերի օգտագործումը համեմատաբար նոր երևույթ է առցանց խարդախության աշխարհում: Սա լուրջ սպառնալիք է ինչպես օգտատերերի, այնպես էլ առցանց ծառայությունների համար, մանավանդ որ որոշ բոտեր զանգի ընթացքում կարողանում են պահանջել ոչ միայն մեկանգամյա գաղտնաբառերը, այլև այլ տվյալներ, օրինակ՝ բանկային քարտի համարը և գործողության ժամկետը, PIN կոդերը, ծննդյան ամսաթիվը, փաստաթղթերի վավերապայմանները: Բոտերի ֆունկցիոնալությունը տատանվում է մեկ կազմակերպության օգտատերերին ուղղված մեկ սկրիպտից մինչև ճկուն կարգավորումներ և սկրիպտերի լայն ընտրություն, որոնք թույլ են տալիս այդպիսի բոտերով փոխարինել մի ամբողջ խարդախ զանգերի կենտրոն»,- մեկնաբանում է «Կասպերսկի» ընկերության բովանդակության ավագ վերլուծաբան Օլգա Սվիստունովան:
«Կասպերսկի»-ի փորձագետները խորհուրդ են տալիս անվտանգության հետևյալ միջոցները.
• տեղադրել Kaspersky Premium՝ ինչպես օգտատիրոջ, այնպես էլ նրա մտերիմների էլեկտրոնային փոստին և հեռախոսահամարին կապակցված օգտահաշիվների տվյալների արտահոսքի ավտոմատ ստուգման համար։ Արտահոսքի հայտնաբերման դեպքում պետք է հետևել հավելվածի խորհուրդներին, թե ինչ պետք է անել այն չեզոքացնելու համար (առնվազն անմիջապես փոխել գաղտնաբառը).
• բոլոր օգտահաշիվների համար ստեղծել հուսալի գաղտնաբառեր Password Manager-ի օգնությամբ: Խարդախները չեն կարողանա օգտագործել OTP բոտերը, եթե չիմանան օգտատիրոջ գաղտնաբառը.
• եթե հաղորդագրություն է գալիս ցանկացած անձնական տվյալի և OTP կոդի մուտքագրման հղմամբ, ապա պետք է համոզվել, որ URL հասցեն ճիշտ է: Հասցեի տողում մի քանի նիշ փոխելը, տանելով նման ֆիշինգային կայք, խարդախների սիրված հնարքն է, այնպես որ ավելի լավ է, որ օգտատերը մի քանի վայրկյան ծախսի և ստուգի, թե արդյոք օրինական կայքում է, և դրանից հետո մուտքագրի մուտանունը, գաղտնաբառը և OTP կոդը.
• չհայտնել մեկանգամյա կոդերը երրորդ անձանց և չմուտքագրել դրանք հեռախոսի ստեղնաշարով զանգի ընթացքում. բանկի իրական աշխատակիցները, խանութների կամ ծառայությունների ներկայացուցիչները և նույնիսկ իրավապահները երբեք չեն փորձի իմանալ մեկանգամյա գաղտնաբառը:
19:34
19:22
19:05
15:46
15:04
11:25
11:02
22:56
22:05
21:33
21:04
17:10
16:44
16:21
16:03
13:54
13:52
13:44
13:19
13:03
| երկ | երք | չրք | հնգ | ուրբ | շբթ | կրկ | |
| 1 | |||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 | |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 | |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 | |
| 30 | |||||||
09:44
09:23
09:02
09:28
09:13
09:34
09:18
09:03
09:55
09:48
09:36
09:28
09:02
09:55
09:49
09:35
09:18
09:02
09:19
09:02
09:49
09:34
09:18
09:03
09:55
09:42
09:35
09:17
09:02
09:45
09:35
09:27
09:09
09:53
09:45
09:36
09:28
09:15
09:02
10:02
09:52
09:44
09:35
09:17
09:02
09:55
09:44
09:33
09:23
09:03
