От
KL FC Bot
За последние годы мы привыкли входить на важные сайты и в приложения, например в онлайн-банк, при помощи пароля и еще одного метода подтверждения. Это могут быть одноразовый код (OTP — one-time password), присланный в SMS-, e-mail- или Push-сообщении, код из приложения-аутентификатора или даже подтверждение при помощи специального USB-устройства — токена. Этот метод входа называется двухфакторной аутентификацией (2ФА, 2FA), и она реально затрудняет жизнь хакерам. Для угона аккаунтов становится недостаточно украсть или подобрать пароль. Но что делать, если вы никуда не пытались войти, но внезапно получили одноразовый код или запрос на его ввод?
Эта ситуация может возникать по трем причинам:
Попытка взлома. Хакеры откуда-то узнали, подобрали, украли ваш пароль и теперь пробуют его, чтобы войти в ваш аккаунт. Сообщение при этом приходит настоящее, от самого сервиса, в который пытаются зайти.
Подготовка к взлому. Хакеры либо узнали ваш пароль, либо думают, что могут его выманить, а запрос на ввод OTP является разновидностью фишинга. Сообщение при этом приходит фальшивое, хотя оно может выглядеть очень похожим на настоящее.
Просто ошибка. Иногда онлайн-сервисы устроены так, что сначала запрашивают SMS-код подтверждения, а потом пароль, или вообще аутентифицируют только по одному коду. Тогда какой-то другой пользователь может допустить опечатку и ввести ваш телефон/e-mail вместо своего — и вы получите код.
Как видите, невинных объяснений происходящему не так много. Но хорошая новость в том, что на этом этапе ничего непоправимого не произошло и, действуя правильно, неприятностей можно избежать.
Ваши действия при получении запроса кода
Самое главное — не нажимать кнопку «Подтвердить», если подтверждение имеет вид «Да/нет», не вводить никуда и не сообщать никому коды из полученных сообщений. Если сообщение с запросом кода содержит ссылки — не переходить по ним.
Эти советы — самые главные: пока вы не подтвердили вход, ваш аккаунт в безопасности. Однако подобные предупреждения означают, что с высокой вероятностью пароль к аккаунту известен злоумышленникам. Поэтому следующее, что нужно сделать — сменить пароль на этом аккаунте. Откройте нужный сервис, самостоятельно введя его адрес, а не переходя по ссылкам. Введите пароль, получите код подтверждения (уже другой!) и введите его. Затем найдите настройки пароля и установите новый надежный пароль. Если вы пользуетесь таким же паролем в других аккаунтах, в них тоже нужно его сменить, только теперь на каждую учетную запись нужно придумать свой уникальный пароль. Понимаем, что запоминать столько паролей сложно, поэтому очень рекомендуем хранить их в специальном приложении — менеджере паролей.
Этап со сменой паролей не слишком срочный. Не нужно делать его в панике и на бегу, но откладывать смену паролей на несколько дней тоже нельзя. Для ценных аккаунтов (например, банковских) злоумышленники могут попытаться перехватить код подтверждения, если его присылают по SMS. Это делается с помощью оформления новой SIM-карты на ваш номер или атаки через служебную сеть сотового оператора, SS7. Поэтому важно сменить пароль до того, как они попытаются провести подобную атаку. В целом же одноразовые коды по SMS менее надежны, чем приложения-аутентификаторы и USB-токены. Мы рекомендуем всегда использовать самый надежный способ 2ФА из предлагаемых сервисом, обзор разных методов двухфакторной аутентификации можно почитать здесь.
Посмотреть статью полностью
От tread lightly
От Andreyuser
От KL FC Bot
От Марк-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти