Антон Кравченко – Где нас обманывают? (страница 37)
- В аккаунте появились неизвестные устройства.
- Приходят уведомления о входе, которых вы не совершали.
- Пароль внезапно перестал подходить.
- Появились правила пересылки почты или неизвестные recovery-контакты.
- Контакты получают от вас странные сообщения.
Красные флаги
- “Для отмены входа назовите код”.
- “Подтвердите push, чтобы заблокировать мошенника”.
- “Введите старый и новый пароль по ссылке”.
- “Отправьте резервный код поддержки”.
- “Служба безопасности сама настроит защиту через удалённый доступ”.
Защита
- Пароль менять только через официальный путь.
- Сначала защищать почту, потому что через неё восстанавливаются другие сервисы.
- Не использовать один пароль повторно.
- После смены пароля всегда отзывать сессии.
- Проверять recovery-каналы и пересылку, а не только сам пароль.
Ограничения метода
Если устройство заражено или удалённый доступ ещё активен, смена пароля с этого же устройства может передать новый пароль атакующему. В таком случае сначала изолируется устройство, затем аккаунты восстанавливаются с чистого канала.
Практические примеры
Пример 1. Пользователь ввёл пароль от почты на фейковой странице. После смены пароля он обязан проверить пересылку, фильтры, сессии и recovery-адреса.
Пример 2. Пароль от маркетплейса совпадал с паролем от почты. Менять нужно оба, начиная с почты.
Кейсы
Кейс. Аккаунт соцсети восстановлен, но мошенники снова входят через старую активную сессию. Решение — принудительный выход со всех устройств и пересборка MFA.
Кейс. После взлома почты “исчезают” письма банка. Обнаруживается правило автопересылки и удаления. Нужно удалить правило, сменить пароль и проверить связанные сервисы.
Упражнения
Составьте карту своих критических аккаунтов: почта, банк, телефон, облако, мессенджер.
Для каждого критического аккаунта запишите, где смотреть активные сессии и recovery-каналы.
Контрольные вопросы
- Почему смена пароля без выхода из сессий недостаточна?
- Почему почта важнее большинства других аккаунтов?
- Что такое recovery-канал и почему его нужно проверять?
Вывод
Восстановление аккаунта — это не “сменить пароль”, а вернуть полный контроль над всеми путями входа и восстановления.
Глава 36. Код, push, MFA и резервные ключи: что делать после передачи второго фактора
Определение
Передача второго фактора — это ситуация, когда человек назвал SMS/OTP-код, подтвердил push-вход, передал резервный код, QR для входа, ссылку восстановления или иным образом помог злоумышленнику обойти защиту.
История возникновения
По мере распространения MFA атакующие стали обходить не саму криптографию, а человека: просьбами “подтвердить отмену”, MFA fatigue, звонками от псевдо-IT и fake-helpdesk сценариями.
Психологический механизм
Код воспринимается как временная цифра, а не как ключ. Push воспринимается как “кнопка подтверждения”, хотя фактически может означать вход, перевод, смену пароля или привязку устройства.
Нейробиологическая основа
Под срочностью человек реагирует на формулировку источника, а не на смысл действия. Если ему говорят “подтвердите блокировку”, он может не заметить, что реально подтверждает вход.
Где применяется
Применяется к банкам, почте, мессенджерам, гос- и корпоративным системам, облакам, криптокошелькам, рекламным кабинетам и сервисам, где есть второй фактор.
Почему работает
Второй фактор часто является последней границей перед захватом аккаунта, сменой recovery-данных или финансовым действием.
Пошаговая схема
Считать передачу кода или push-подтверждение высоким риском.
Войти в сервис через официальный канал.
Проверить последние входы, устройства, операции и изменения настроек.
Выйти из всех сессий.
Сменить пароль и пересобрать MFA.
Отозвать резервные коды и создать новые, если сервис это позволяет.
Проверить recovery-email, телефон, подключённые приложения и доверенные устройства.
Связаться с поддержкой или банком, если были операции или блокировка доступа.
Признаки применения
- Приходит код, который вы не запрашивали.
- Push просит подтвердить действие без вашей инициативы.
- Звонящий объясняет код как “код отмены”.
- После подтверждения меняются настройки аккаунта.
- Появляется новый телефон, email или устройство восстановления.
Красные флаги
- “Назовите код, чтобы отменить списание”.
- “Нажмите Да, чтобы заблокировать мошенника”.