Что делать c нежданными сообщениями с одноразовыми кодами

За последние годы мы привыкли входить на важные сайты и в приложения, например в онлайн-банк, при помощи пароля и еще одного метода подтверждения. Это могут быть одноразовый код (OTP — one-time password), присланный в SMS-, e-mail- или Push-сообщении, код из приложения-аутентификатора или даже подтверждение при помощи специального USB-устройства — токена. Этот метод входа называется двухфакторной аутентификацией (2ФА, 2FA), и она реально затрудняет жизнь хакерам. Для угона аккаунтов становится недостаточно украсть или подобрать пароль. Но что делать, если вы никуда не пытались войти, но внезапно получили одноразовый код или запрос на его ввод?

Эта ситуация может возникать по трем причинам:

1. Попытка взлома. Хакеры откуда-то узнали, подобрали, украли ваш пароль и теперь пробуют его, чтобы войти в ваш аккаунт. Сообщение при этом приходит настоящее, от самого сервиса, в который пытаются зайти.
2. Подготовка к взлому. Хакеры либо узнали ваш пароль, либо думают, что могут его выманить, а запрос на ввод OTP является разновидностью фишинга. Сообщение при этом приходит фальшивое, хотя оно может выглядеть очень похожим на настоящее.
3. Просто ошибка. Иногда онлайн-сервисы устроены так, что сначала запрашивают SMS-код подтверждения, а потом пароль, или вообще аутентифицируют только по одному коду. Тогда какой-то другой пользователь может допустить опечатку и ввести ваш телефон/e-mail вместо своего — и вы получите код.

Как видите, невинных объяснений происходящему не так много. Но хорошая новость в том, что на этом этапе ничего непоправимого не произошло и, действуя правильно, неприятностей можно избежать.

Ваши действия при получении запроса кода

Самое главное — не нажимать кнопку «Подтвердить», если подтверждение имеет вид «Да/нет», не вводить никуда и не сообщать никому коды из полученных сообщений. Если сообщение с запросом кода содержит ссылки — не переходить по ним.

Эти советы — самые главные: пока вы не подтвердили вход, ваш аккаунт в безопасности. Однако подобные предупреждения означают, что с высокой вероятностью пароль к аккаунту известен злоумышленникам. Поэтому следующее, что нужно сделать — сменить пароль на этом аккаунте. Откройте нужный сервис, самостоятельно введя его адрес, а не переходя по ссылкам. Введите пароль, получите код подтверждения (уже другой!) и введите его. Затем найдите настройки пароля и установите новый надежный пароль. Если вы пользуетесь таким же паролем в других аккаунтах, в них тоже нужно его сменить, только теперь на каждую учетную запись нужно придумать свой уникальный пароль. Понимаем, что запоминать столько паролей сложно, поэтому очень рекомендуем хранить их в специальном приложении — менеджере паролей.

Этап со сменой паролей не слишком срочный. Не нужно делать его в панике и на бегу, но откладывать смену паролей на несколько дней тоже нельзя. Для ценных аккаунтов (например, банковских) злоумышленники могут попытаться перехватить код подтверждения, если его присылают по SMS. Это делается с помощью оформления новой SIM-карты на ваш номер или атаки через служебную сеть сотового оператора, SS7. Поэтому важно сменить пароль до того, как они попытаются провести подобную атаку. В целом же одноразовые коды по SMS менее надежны, чем приложения-аутентификаторы и USB-токены. Мы рекомендуем всегда использовать самый надежный способ 2ФА из предлагаемых сервисом, обзор разных методов двухфакторной аутентификации можно почитать здесь.

Что делать, если запросов OTP очень много

В попытках выманить подтверждение у жертвы хакеры могут применить «бомбардировку» кодами. Они многократно и очень часто пытаются войти в аккаунт в расчете на то, что жертва, получив десятки запросов кода или требований подтвердить вход, либо один раз ошибется и нажмет «Подтвердить», либо пойдет на сайт отключать 2ФА вообще. Важно сохранять хладнокровие и не сделать ни того, ни другого. Наиболее эффективным будет зайти на сайт по алгоритму, описанному выше (открыв сайт вручную, а не по ссылке), и быстро сменить пароль, но для этого уже вам придется получить и ввести OTP. В некоторых запросах аутентификации (например, в предупреждениях о входе в сервисы Google) есть отдельная кнопка «Нет, это не я» — обычно при ее нажатии автоматизированные системы на стороне сервиса сами блокируют атакующего и новые запросы 2ФА уже не поступают. Ну и еще одним, хотя и не самым удобным вариантом будет переключение телефона в беззвучный или даже авиарежим на полчаса-час, пока волна кодов не закончится.

Что делать, если случайно подтвердил чужой вход

Это наиболее неприятный сценарий, поскольку вы, скорее всего, допустили злоумышленника в свой аккаунт. Атакующие действуют быстро, меняют настройки и пароли, поэтому дальше придется играть в догоняющего и устранять последствия совершившегося взлома. Советы на этот печальный случай мы давали здесь.

Как защититься?

Лучший метод защиты в данном случае — быть на шаг впереди злоумышленников: si vis pacem, para bellum («Хочешь мира — готовься к войне»). В этом поможет наше защитное решение, которое отслеживает утечки ваших учетных записей, привязанных как к адресу электронной почты, так и к номеру телефона, в том числе и в дарквебе. Вы можете указать номера телефонов и адреса электронной почты всех членов вашей семьи, и, если данные ваших учетных записей попали в публичный доступ или обнаружены в слитых базах данных, Kaspersky Premium предупредит вас об этом и подскажет, что нужно сделать.

Входящий в подписку Kaspersky Password Manager предупредит вас о скомпрометированных паролях и поможет сменить их, сгенерировав для вас новые сложные и невзламываемые пароли. Вы также можете добавить в него токены для двухфакторной аутентификации или в несколько кликов перенести их из Google Authenticator. Безопасное хранилище личных документов сохранит самые важные документы и файлы, например скан паспорта или личные фотографии, в зашифрованном виде, чтобы никто кроме вас не мог ими воспользоваться.

При этом логины-пароли, коды аутентификации и сохраненные документы будут доступны с любого вашего устройства — компьютера, смартфона или планшета, так что даже если вы вдруг каким-то образом лишитесь смартфона, вы не потеряете свои данные и доступы и сможете легко восстановить их на новом устройстве. А для доступа ко всем данным вам понадобится запомнить лишь один главный пароль, который не хранится нигде, кроме вашей головы, и используется для AES-шифрования данных по банковским стандартам.

С «принципом нулевого разглашения» никто не может получить доступ к вашим паролям и данным — даже сотрудники «Лаборатории Касперского». Безопасность и эффективность наших защитных решений подтверждаются многочисленными независимыми тестами и высшей наградой — «Продукт года — 2023», полученной нашим «домашним» защитным решением в тестах независимой европейской лаборатории AV-Comparatives.