18+
реклама
18+
Бургер менюБургер меню

Антон Кравченко – Где нас обманывают? (страница 37)

18

- В аккаунте появились неизвестные устройства.

- Приходят уведомления о входе, которых вы не совершали.

- Пароль внезапно перестал подходить.

- Появились правила пересылки почты или неизвестные recovery-контакты.

- Контакты получают от вас странные сообщения.

Красные флаги

- “Для отмены входа назовите код”.

- “Подтвердите push, чтобы заблокировать мошенника”.

- “Введите старый и новый пароль по ссылке”.

- “Отправьте резервный код поддержки”.

- “Служба безопасности сама настроит защиту через удалённый доступ”.

Защита

- Пароль менять только через официальный путь.

- Сначала защищать почту, потому что через неё восстанавливаются другие сервисы.

- Не использовать один пароль повторно.

- После смены пароля всегда отзывать сессии.

- Проверять recovery-каналы и пересылку, а не только сам пароль.

Ограничения метода

Если устройство заражено или удалённый доступ ещё активен, смена пароля с этого же устройства может передать новый пароль атакующему. В таком случае сначала изолируется устройство, затем аккаунты восстанавливаются с чистого канала.

Практические примеры

Пример 1. Пользователь ввёл пароль от почты на фейковой странице. После смены пароля он обязан проверить пересылку, фильтры, сессии и recovery-адреса.

Пример 2. Пароль от маркетплейса совпадал с паролем от почты. Менять нужно оба, начиная с почты.

Кейсы

Кейс. Аккаунт соцсети восстановлен, но мошенники снова входят через старую активную сессию. Решение — принудительный выход со всех устройств и пересборка MFA.

Кейс. После взлома почты “исчезают” письма банка. Обнаруживается правило автопересылки и удаления. Нужно удалить правило, сменить пароль и проверить связанные сервисы.

Упражнения

Составьте карту своих критических аккаунтов: почта, банк, телефон, облако, мессенджер.

Для каждого критического аккаунта запишите, где смотреть активные сессии и recovery-каналы.

Контрольные вопросы

- Почему смена пароля без выхода из сессий недостаточна?

- Почему почта важнее большинства других аккаунтов?

- Что такое recovery-канал и почему его нужно проверять?

Вывод

Восстановление аккаунта — это не “сменить пароль”, а вернуть полный контроль над всеми путями входа и восстановления.

Глава 36. Код, push, MFA и резервные ключи: что делать после передачи второго фактора

Определение

Передача второго фактора — это ситуация, когда человек назвал SMS/OTP-код, подтвердил push-вход, передал резервный код, QR для входа, ссылку восстановления или иным образом помог злоумышленнику обойти защиту.

История возникновения

По мере распространения MFA атакующие стали обходить не саму криптографию, а человека: просьбами “подтвердить отмену”, MFA fatigue, звонками от псевдо-IT и fake-helpdesk сценариями.

Психологический механизм

Код воспринимается как временная цифра, а не как ключ. Push воспринимается как “кнопка подтверждения”, хотя фактически может означать вход, перевод, смену пароля или привязку устройства.

Нейробиологическая основа

Под срочностью человек реагирует на формулировку источника, а не на смысл действия. Если ему говорят “подтвердите блокировку”, он может не заметить, что реально подтверждает вход.

Где применяется

Применяется к банкам, почте, мессенджерам, гос- и корпоративным системам, облакам, криптокошелькам, рекламным кабинетам и сервисам, где есть второй фактор.

Почему работает

Второй фактор часто является последней границей перед захватом аккаунта, сменой recovery-данных или финансовым действием.

Пошаговая схема

Считать передачу кода или push-подтверждение высоким риском.

Войти в сервис через официальный канал.

Проверить последние входы, устройства, операции и изменения настроек.

Выйти из всех сессий.

Сменить пароль и пересобрать MFA.

Отозвать резервные коды и создать новые, если сервис это позволяет.

Проверить recovery-email, телефон, подключённые приложения и доверенные устройства.

Связаться с поддержкой или банком, если были операции или блокировка доступа.

Признаки применения

- Приходит код, который вы не запрашивали.

- Push просит подтвердить действие без вашей инициативы.

- Звонящий объясняет код как “код отмены”.

- После подтверждения меняются настройки аккаунта.

- Появляется новый телефон, email или устройство восстановления.

Красные флаги

- “Назовите код, чтобы отменить списание”.

- “Нажмите Да, чтобы заблокировать мошенника”.