Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
Войти
Забыли пароль?
или продолжите с
Создать аккаунт
Я хочу получать рассылки с лучшими постами за неделю
или
Восстановление пароля
Восстановление пароля
Получить код в Telegram
Войти с Яндекс ID Войти через VK ID
Создавая аккаунт, я соглашаюсь с правилами Пикабу и даю согласие на обработку персональных данных.
ПромокодыРаботаКурсыРекламаИгрыПополнение Steam

Пикабу Игры +1000 бесплатных онлайн игр

Погрузитесь в логическую головоломку: откручивайте болты из планок на самых сложных уровнях! Вы не только расслабитесь в конце сложного дня, но еще и натренируете свой мозг, решая увлекательные задачки. Справитесь с ролью опытного мастера? Попробуйте свои силы в режиме онлайн бесплатно и без регистрации!

Головоломка. Болты и Гайки

Казуальные, Гиперказуальные, Головоломки

Играть
Станьте Детективом! Решайте логические головоломки, чтобы найти преступника! 
Множество уровней и интересных историй! События и задачи дня!

Тебе предстоит раскрывать массу разных дел, в этом тебе поможет известный всем сыщикам метод дедукции.

Детектив - логические головоломки

Головоломки, Казуальные, Логическая

Играть
Это idle-игра стратегия о рыцарях, исследованиях, крафте и сражениях, которая предоставляет пользователям расслабляющий опыт. Игра не требует концентрации и идеально подходит, когда вам нужно сделать перерыв или отдохнуть.

Герои Мини-Королевства

Кликер, Стратегии, Мидкорные

Играть
Управляйте маятником, чтобы построить самую высокую (и устойчивую) башню из падающих сверху постов. Следите за временем на каждый бросок по полоске справа: если она закончится, пост упадет мимо башни.

Башня

Аркады, Строительство, На ловкость

Играть
“Рецепт Счастья” — увлекательная игра в жанре «соедини предметы»! Помогите Эмили раскрыть тайны пропавшего родственника, найти сокровища и восстановить её любимое кафе.

Рецепт Счастья

Казуальные, Головоломки, Новеллы

Играть

Топ прошлой недели

  • AlexKud AlexKud 36 постов
  • Animalrescueed Animalrescueed 41 пост
  • leomin leomin 1 пост
Посмотреть весь топ

Лучшие посты недели

Рассылка Пикабу: отправляем самые рейтинговые материалы за 7 дней 🔥

Нажимая кнопку «Подписаться на рассылку», я соглашаюсь с Правилами Пикабу и даю согласие на обработку персональных данных.

Спасибо, что подписались!
Пожалуйста, проверьте почту 😊

Помощь Кодекс Пикабу Команда Пикабу Моб. приложение
Правила соцсети О рекомендациях О компании
Промокоды Биг Гик Промокоды Lamoda Промокоды МВидео Промокоды Яндекс Директ Промокоды Отелло Промокоды Aroma Butik Промокоды Яндекс Путешествия Постила Футбол сегодня

Авторизация

С этим тегом используют

Пикабу Баг ВКонтакте Пароль Госуслуги Google Проблема Все
165 постов сначала свежее
SenyaTop
SenyaTop
14 дней назад

10 лучших сервисов авторизации по звонку на номер телефона: рейтинг Flash Call решений⁠⁠

Ищете безопасный и экономичный способ подтверждения пользователей? Авторизация по звонку (Flash Call) — современная альтернатива SMS, где код формируется из последних цифр входящего вызова. Этот метод верификации по номеру телефона исключает задержки, снижает расходы в несколько раз и защищает от мошенничества.

10 лучших сервисов авторизации по звонку на номер телефона: рейтинг Flash Call решений Статья, Топ 10, Авторизация, Без рейтинга, Длиннопост

Designed by Freepik

В статье собраны топ-10 сервисов авторизации через звонок с детальным обзором их преимуществ: скорости, интеграции и безопасности. Узнайте, какие решения подойдут вашему бизнесу для оптимизации процессов и повышения лояльности клиентов.

ТОП-5 сервисов авторизации по звонку вместо СМС

  • SMSprofi — безопасная авторизация через звонок. Экономия до 5 раз в сравнении с SMS, 100% доставка кодов, защита от фрода. Универсально для интернет-магазинов, банков и Wi-Fi. Интеграция за 1 день. Тест-период — бесплатно.

  • ProstoSMS — авторизация за 5 секунд через звонок вместо SMS. Экономия до 70%, интеграция с CRM/1С, гарантия доставки (SMS/мессенджеры при сбое). Тест бесплатно.

  • uCaller — верификация по звонкам вместо SMS для digital-стартапов с высокой нагрузкой. Снижает стоимость подтверждений (от 0,4 ₽), блокирует ботов через фильтр виртуальных номеров, ускоряет доставку кода. Высокий % доставки, простое API, защита данных.

  • i-digital — сервис для сайтов с массовой аутентификацией предлагает заменить SMS-авторизацию на авторизацию по звонку и сэкономить в 5 раз. Тестовый период + защита от фрода.

  • Sigma — авторизация через звонок от 0,39 ₽/код. Защита данных, интеграция за 1 час. Гибкие тарифы. Можно подключить гибрид SMS+звонок.


1. SMSProfi — универсальная авторизация через звонок

Рейтинг: 5.0 ⭐

Официальный сайт: smsprofi.ru

10 лучших сервисов авторизации по звонку на номер телефона: рейтинг Flash Call решений Статья, Топ 10, Авторизация, Без рейтинга, Длиннопост
  • Стоимость: от 0,95 руб. за звонок

  • Тестовый период: да, подарочные 100 руб. на тест

  • Дополнительные сервисы: умный сервис SMS-рассылки, рассылка по мессенджерам, SMS-опрос, голосовые рассылки, таргетированная SMS-реклама

Call Password от SMSProfi — это решение, которое мы рекомендуем. Сервис автоматически блокирует подозрительные запросы, а стоимость авторизации начинается от 0,95 ₽. Звонок поступает мгновенно, код из номера легко ввести даже новичкам.

Особенности:

  • Фиксированный тариф для всех операторов.

  • Бесплатный тест на 100 ₽ для оценки функционала.

  • API с детальной документацией для быстрого внедрения.

Перейти на сайт SMSProfi

2. ProstoSMS — гибкая верификация по номеру телефона

Рейтинг: 4.9 ⭐

10 лучших сервисов авторизации по звонку на номер телефона: рейтинг Flash Call решений Статья, Топ 10, Авторизация, Без рейтинга, Длиннопост

Официальный сайт: sms-prosto.ru

  • Стоимость: от 0,65 руб. за звонок

  • Тестовый период: нет

  • Дополнительные сервисы: смс-рассылка, смс-шлюз, рассылка в Telegram, рассылка Вконтакте.

ProstoSMS предлагает Flash Call — технологию, которая сокращает расходы на верификацию в 10 раз. Сервис автоматически переключается на SMS, если звонок недоступен, что гарантирует доставку кода в любых условиях. Идеально подходит для интернет-магазинов и публичных Wi-Fi сетей.

Плюсы:

  • Интеграция без доработок кода.

  • Автоматический fallback на SMS.

  • Поддержка офлайн- и онлайн-бизнеса.

Перейти на сайт ProstoSMS

3. uCaller — сервис регистрации по звонку на номер телефона

Рейтинг: 4.8 ⭐

Официальный сайт: ucaller.ru

10 лучших сервисов авторизации по звонку на номер телефона: рейтинг Flash Call решений Статья, Топ 10, Авторизация, Без рейтинга, Длиннопост
  • Стоимость: от 0,40 руб. за звонок

  • Тестовый период: нет

  • Дополнительные сервисы: нет

uCaller — российский сервис, который мы считаем одним из самых гибких на рынке. Здесь доступны два сценария: передача заранее сгенерированного кода или его генерация на стороне платформы. Это упрощает интеграцию в разные бизнес-процессы. Например, голосовое озвучивание кода делает сервис доступным для пользователей с ограничениями по зрению.

Ключевые преимущества:

  • Стоимость от 0,4 рубля за запрос — в разы дешевле SMS.

  • Поддержка международных номеров.

  • Защита от перехвата данных за счет уникального формата звонков.

  • Простой API для настройки под любые задачи.

  • Удобство для пользователей: не нужно искать код в SMS.

Перейти на сайт uCaller

4. i-digital

Рейтинг: 4.8 ⭐

Официальный сайт: i-dgtl.ru

10 лучших сервисов авторизации по звонку на номер телефона: рейтинг Flash Call решений Статья, Топ 10, Авторизация, Без рейтинга, Длиннопост
  • Стоимость: от 1,5 руб. за 1 звонок (скидка за большой объём)

  • Тестовый период: нет

  • Дополнительные сервисы: SMS рассылка по своей базе, разработка чат бота, PUSH рассылка, рассылка в WhatsApp, короткий номер для бизнеса

FlashCall от i-Digital — это решение для быстрой аутентификации через звонок. Мы рекомендуем его компаниям, которые стремятся сократить расходы на SMS-коды без ущерба безопасности. Последние четыре цифры номера звонящего становятся паролем, что исключает риск перехвата данных. Сервис легко интегрируется в любые системы через API и подходит для банков, ритейла, страхования и других отраслей.

Почему стоит выбрать:

  • Экономия до 70% по сравнению с SMS.

  • Мгновенная доставка кода — менее 10 секунд.

  • Повышенная защита от фрода благодаря уникальному формату.

  • Гибкая интеграция с веб-сайтами, CRM и мобильными приложениями.

  • Дополнительные опции: VoiceCode и SMS как резервный канал.

Перейти на сайт i-Digital

5. SIGMA messaging

Рейтинг: 4.7 ⭐

Официальный сайт: sigmasms.ru

10 лучших сервисов авторизации по звонку на номер телефона: рейтинг Flash Call решений Статья, Топ 10, Авторизация, Без рейтинга, Длиннопост
  • Стоимость: от 1000 звонков - 0,79 руб. за звонок

  • Тестовый период: нет

  • Дополнительные сервисы: рассылка по мессенджерам, SMS-опрос, голосовые рассылки, таргетированная SMS-реклама

SIGMA messaging фокусируется на массовых рассылках и гибких настройках. Мы видим этот сервис как оптимальный выбор для финансовых платформ и онлайн-магазинов, где важна скорость подтверждения транзакций.

Преимущества:

  • Снижение затрат за счет замены SMS на звонки.

  • Доставка кода за 5-7 секунд.

  • API с подробной документацией.

Перейти на сайт SIGMA messaging

6. MobilGroup

Рейтинг: 4.6 ⭐

Официальный сайт: mobilgroup.ru

10 лучших сервисов авторизации по звонку на номер телефона: рейтинг Flash Call решений Статья, Топ 10, Авторизация, Без рейтинга, Длиннопост
  • Стоимость: от 0,35 - 0,65 руб. за звонок

  • Тестовый период: нет

  • Дополнительные сервисы: Sim-Push, Голосовой робот, Смс-рассылка, рассылка в Telegram

MobilGroup — flash call сервис, который мы считаем надежным даже при проблемах с SMS-доставкой. Сервис подходит для регистрации, входа в систему и подтверждения транзакций.

Сильные стороны:

  • Стабильность при высоких нагрузках.

  • Интуитивная интеграция через API.

  • Поддержка сложных сценариев верификации.

7. REDSMS

Рейтинг: 4.6 ⭐

Официальный сайт: redsms.ru

10 лучших сервисов авторизации по звонку на номер телефона: рейтинг Flash Call решений Статья, Топ 10, Авторизация, Без рейтинга, Длиннопост
  • Стоимость: от 1,5 руб.

  • Тестовый период: нет

  • Дополнительные сервисы: Sim-Push, Голосовой робот, Смс-рассылка, рассылка в Telegram

Flash-Call Password — это современный сервис от REDSMS, который мы рады представить как эффективную замену классической SMS-верификации. Вместо ожидания текстового сообщения пользователь получает входящий звонок: последние цифры номера автоматически становятся кодом подтверждения.

Преимущества и особенности:

  • Мгновенная доставка — звонок поступает менее чем за 5 секунд.

  • Экономия бюджета — стоимость услуги до 5 раз ниже, чем при использовании SMS.

  • Упрощение для пользователя — код подтверждается автоматически, без необходимости открывать сообщения или запоминать цифры.

8. Voice Password

Рейтинг: 4.5 ⭐

Официальный сайт: voicepassword.ru

10 лучших сервисов авторизации по звонку на номер телефона: рейтинг Flash Call решений Статья, Топ 10, Авторизация, Без рейтинга, Длиннопост
  • Стоимость: от 0,95 руб. за звонок

  • Тестовый период: нет

  • Дополнительные сервисы: SMS-рассылки, рассылки VK и OK, Email-рассылки, голосовые рассылки

Voice Password — вход по звонку. Сервис позволяет снизить затраты до 7 раз, а код можно как услышать в звонке, так и получить через номер. Подходит для интеграции с 1С и CRM.

Особенности:

  • Бесплатный тестовый период.

  • Поддержка международных номеров.

  • Готовые модули для быстрого внедрения.

9. Zvonok

Рейтинг: 4.4 ⭐

Официальный сайт: zvonok.com

10 лучших сервисов авторизации по звонку на номер телефона: рейтинг Flash Call решений Статья, Топ 10, Авторизация, Без рейтинга, Длиннопост
  • Стоимость: от 1.00 руб. за звонок

  • Тестовый период: да, 20 руб. на счёт для пробных звонков

  • Дополнительные сервисы: Звонки по API, автоматический обзвон, автозвонки для колл-центра

Zvonok — это многофункциональная платформа для автоматизации звонков. Мы рекомендуем её компаниям, которым нужны не только верификация, но и массовые обзвоны, интеграция с CRM и аналитика.

Плюсы:

  • Интерактивные голосовые меню (IVR).

  • Детальная аналитика по кампаниям.

  • Голосовые роботы с реалистичным звучанием.

10. Плюсофон

Рейтинг: 4.4 ⭐

Официальный сайт: plusofon.ru

10 лучших сервисов авторизации по звонку на номер телефона: рейтинг Flash Call решений Статья, Топ 10, Авторизация, Без рейтинга, Длиннопост
  • Стоимость: от 0,19 руб. за звонок

  • Тестовый период: да, бесплатный тариф на 100 звонков

  • Дополнительные сервисы: Виртуальная АТС, Callback, IP-телефония, SIP-транк

Плюсофон предлагает один из самых бюджетных вариантов — от 0,19 рубля за звонок. Сервис обеспечивает доставляемость в 98% и поддерживает международные номера. Настройка занимает менее 10 минут, что делает его удобным для стартапов.

Преимущества:

  • Тарифы от 100 бесплатных звонков.

  • Защита от спама и подмены номеров.

  • Глобальное покрытие.


Авторизация через Flash Call: эффективный метод двухфакторной аутентификации

Flash Call — современный подход к подтверждению личности, при котором пользователь получает входящий звонок. Кодом служат последние цифры номера звонящего. Этот метод исключает необходимость отправки SMS, сочетая скорость и безопасность.

Ключевые преимущества технологии

  • Мгновенная доставка: звонок приходит за 5–10 секунд, ускоряя процесс верификации.

  • Экономия бюджета: стоимость услуги в разы ниже SMS-рассылок, что критично для крупных проектов.

  • Кроссплатформенность: работает на любых устройствах и с любыми операторами связи по всему миру.

  • Автоматизация: интеграция с приложением позволяет подтверждать вход без ручного ввода кода.

  • Защита от мошенничества: снижает риски фишинга благодаря уникальному формату передачи данных.

Как выбрать надежного провайдера

При подборе сервиса Flash Call рекомендуется учитывать следующие параметры:

  • Скорость и стабильность: провайдер должен гарантировать доставку звонков без задержек.

  • География охвата: поддержка международных операторов и локальных сетей.

  • Техническая реализация: наличие понятного API, детальной документации и возможности кастомизации.

  • Соответствие стандартам: соблюдение норм защиты персональных данных в вашей стране.

  • Служба поддержки: оперативное решение вопросов через круглосуточный сервис.

Показать полностью 10
Статья Топ 10 Авторизация Без рейтинга Длиннопост
0
1
zayushee
zayushee
1 месяц назад
ВМоскве

Жалобщикам теперь не спрятаться под крышкой от унитаза⁠⁠

Жалобщикам теперь не спрятаться под крышкой от унитаза Москва, Госуслуги, Жалоба, Портал Наш город, МВД, Прокуратура, Авторизация, Государство, ГУЛАГ, Мат, Негатив, Коррупция

Сидим на лавочке у нашей облезлой панельной хрущёвки с соседом. Он - скуф, коренной москвич, автолюбитель. Не то что я, безлошадная понаеха. Возит раз в неделю на попердывающей старой Тойоте рассаду на дачу. В остальные дни на работу на автобусе, как и я. Курим.

- Поймал бы этого мерзавца, ноги вырвал. Наши гаражи стоят на газоне, никому не мешают уже 30 лет. Каждый год заносим тортик, чтоб и дальше стояли. А сейчас какой-то сучара, некий Семён Сидоров написал на портал мэра Москвы и теперь снесут нас. Хотел по-человечески поговорить, звонил ему, так номер глухо не отвечает. Через бот пробивали, нет домашнего адреса, ничего на него нет. Вот сука, да?

- А кто дал номер этого Сидорова?

- Ну сама понимаешь, - выпустив дым, осклабился сосед.

Разговор на лавочке этот был в прошлом году. Гаражи уже снесли. Автора жалобы наши гаражники, к счастью для них самих, не нашли. Потому что без деяний, подпадающих под Уголовный кодекс, точно не обошлось бы. Сосед злится, что на месте гаражей заасфальтировали стоянку и все желающие паркуют свои каршеринги.

До весны 2025 года жаловаться на портал мэра Москвы Собянина "Наш город" мог любой анонимус. Стучали на неубранный подъезд, загаженную птичьи помётом детскую площадку, яму на асфальте, вандальную надпись с рекламой наркошопа на стене. Портальщиков ненавидят все . Ведь "Наш город" курирует лично влиятельная вице-мэр Москвы Анастасия Ракова. Если жалоб много - увольняют глав управ. Поэтому чинили , закрашивали и ремонтировали по заявкам на портал в первую очередь. Достаточно было адреса для регистрации на бесплатном джимейле и одноразовой симки. Теперь новые правила: полная регистрация с паспортными данными, СНИЛС и ИНН. Ибо не балуй. Будете много жаловаться - отключим газ.

На днях и прокуратура ввела свои новые правила: принимает заявления только через полную авторизацию через Госуслуги. А с 23 мая такой же ведомственный порядок вводит и МВД. (Пруфчик : https://www.rbc.ru/rbcfreenews/682331469a79473fef68cd96 ).

Дворнику тоже интересно: кто на него стукнул. Теперь будет знать?

Показать полностью 1
[моё] Москва Госуслуги Жалоба Портал Наш город МВД Прокуратура Авторизация Государство ГУЛАГ Мат Негатив Коррупция
18
3
Agmioli
Agmioli
1 месяц назад
Программы и Браузеры

Двухфакторная авторизация с SMS-кодами имеет свою уязвимость и не гарантирует защиту аккаунтов⁠⁠

Двухфакторная авторизация с SMS-кодами имеет свою уязвимость и не гарантирует защиту аккаунтов Авторизация, Двухфакторная аутентификация, Уязвимость, Обход защиты, Обход ограничений, Обход блокировок, Взлом, Защита информации, Информационная безопасность, Хакеры, Длиннопост

Двухфакторная авторизация с SMS-кодами имеет свою уязвимость и не гарантирует защиту аккаунтов.

КРАТКИЙ СМЫСЛ-ПЕРЕСКАЗ СУТИ ПРОБЛЕМЫ

Существует мнение, что многофакторная защита авторизации, гарантировано защищает аккаунты от взлома. Но это не совсем так.

Несмотря на активное внедрение многофакторной аутентификации (MFA), киберпреступники научились обходить её с помощью всё более изощрённых методов.

Один из них — атаки типа «противник посередине» (Adversary-in-the-Middle, AiTM), которые особенно эффективно реализуются через обратные прокси-серверы.

Эти атаки позволяют перехватывать не только логины и пароли, но и сессионные cookies, открывая злоумышленникам путь в защищённые аккаунты, даже если включена MFA.

Популярность этого метода подкрепляется удобством: благодаря наборам инструментов «Фишинг как услуга» (Phishing-as-a-Service, PhaaS) , таких как:
Tycoon 2FA, Evilproxy, Rockstar 2FA и других.

Даже неспециалисты могут запустить такую кампанию.

Разработчики этих комплектов постоянно обновляют их, добавляя функции обхода защитных механизмов, маскировки трафика и сбора дополнительных данных.

Например, инструменты ограничивают доступ к фишинговым страницам только по точной ссылке, используют фильтрацию по IP-адресу и User-Agent, внедряют динамически обфусцированный JavaScript и задерживают активацию ссылок, чтобы обойти защиту на стороне почтовых сервисов.

Фишинговые прокси работают по схеме:
Пользователь переходит по ссылке, указывает логин и пароль, а затем подтверждает MFA.

Всё это происходит на настоящем сайте — просто через прокси-сервер атакующего.

После успешной аутентификации сайт выдаёт сессионную cookie, которую перехватывает злоумышленник. В его руках оказывается полный доступ к учётной записи.

Некоторые атакующие тут же добавляют своё MFA-устройство в профиль жертвы, чтобы сохранить доступ и после окончания текущей сессии.


БОЛЕЕ ПОДРОБНОЕ ИЗУЧЕНИЕ ПРОБЛЕМЫ "
Современный фишинг: обход MFA. Автор: Джейсон Шульц"

Киберпреступники обходят многофакторную аутентификацию (MFA), используя атаки типа «злоумышленник посередине» (AiTM) через обратные прокси-серверы, перехватывая учётные данные и файлы cookie для аутентификации.

  • Разработчики таких комплектов «Фишинг как услуга» (PhaaS), как Tycoon 2FA и Evilproxy, добавили функции, которые упрощают их использование и затрудняют обнаружение.

  • WebAuthn, решение для многофакторной аутентификации без пароля, использующее криптографию с открытым ключом, предотвращает передачу пароля и обнуляет серверные базы данных аутентификации, обеспечивая надёжную защиту от атак с обходом многофакторной аутентификации.

  • Несмотря на значительные преимущества в плане безопасности, WebAuthn внедряется медленно. Компания Cisco Talos рекомендует организациям пересмотреть свои текущие стратегии многофакторной аутентификации в свете этих развивающихся фишинговых угроз.


В течение последних тридцати лет фишинг был основным средством в арсенале многих киберпреступников.

Все специалисты по кибербезопасности знакомы с фишинговыми атаками: преступники выдают себя за сайт, которому доверяют, в попытке вынудить жертв социальной инженерии к разглашению личной информации, такой как имена пользователей учетных записей и пароли.

На заре фишинга киберпреступникам часто было достаточно создавать поддельные целевые страницы, соответствующие официальному сайту, собирать учетные данные для аутентификации и использовать их для доступа к учетным записям жертв.

С тех пор сетевые защитники пытались предотвратить подобные атаки, используя различные методы. Помимо внедрения мощных систем защиты от нежелательной почты для фильтрации фишинговых писем из почтовых ящиков пользователей, многие организации также проводят имитационные фишинговые атаки на своих собственных пользователей, чтобы научить их распознавать фишинговые письма.

Какое-то время эти методы работали, но по мере того, как фишинговые атаки становились все более изощренными и целенаправленными, фильтры спама и обучение пользователей становились менее эффективными.

В основе этой проблемы лежит тот факт, что имена пользователей часто легко угадать или вычислить, а люди, как правило, очень плохо используют надёжные пароли. Люди также склонны повторно использовать одни и те же слабые пароли на разных сайтах. Киберпреступники, зная имя пользователя и пароль жертвы, часто пытаются взломать учётные данные и войти на разные сайты, используя одну и ту же комбинацию имени пользователя и пароля.

Чтобы подтвердить подлинность пользователей, системы аутентификации обычно используют как минимум один из трёх методов или факторов аутентификации:

  • Что-то, что вы знаете (например, имя пользователя и пароль)

  • Что-то, что у вас есть (например, смартфон или USB-ключ)

  • Что-то, чем вы являетесь (например, ваш отпечаток пальца или распознавание лица)

В условиях появления всё более изощрённых фишинговых сообщений использование только одного фактора аутентификации, такого как имя пользователя и пароль, является проблематичным.
Многие сетевые администраторы в ответ на это внедрили многофакторную аутентификацию, которая включает дополнительный фактор, например SMS-сообщение или push-уведомление, в качестве дополнительного шага для подтверждения личности пользователя при входе в систему.
Благодаря включению дополнительного фактора в процесс аутентификации скомпрометированные имена пользователей и пароли становятся гораздо менее ценными для киберпреступников.
Однако киберпреступники — изобретательные люди, и они нашли хитрый способ обойти многофакторную аутентификацию. Добро пожаловать в безумный мир обхода многофакторной аутентификации!

Как злоумышленники обходят MFA?

Чтобы обойти MFA, злоумышленники встраиваются в процесс аутентификации с помощью атаки «злоумышленник посередине» (AiTM).

Как правило, это делается с помощью обратного прокси-сервера. Обратный прокси-сервер функционирует как сервер-посредник, принимающий запросы от клиента и перенаправляющий их на реальные веб-серверы, к которым клиент хочет подключиться.

Чтобы обойти многофакторную аутентификацию, злоумышленник настраивает обратный прокси-сервер и рассылает фишинговые сообщения как обычно. Когда жертва подключается к обратному прокси-серверу злоумышленника, он перенаправляет трафик жертвы на настоящий сайт.
С точки зрения жертвы, сайт, к которому она подключилась, выглядит подлинным — и это так!
Жертва взаимодействует с законным сайтом.

Единственное отличие, заметное жертве, — это расположение сайта в адресной строке браузера.

Вклинившись в этот процесс обмена данными между клиентом и сервером, злоумышленник может перехватить имя пользователя и пароль, которые отправляются от жертвы на легитимный сайт.

Это завершает первый этап атаки и запускает запрос многофакторной аутентификации, отправляемый жертве с легитимного сайта.

Когда ожидаемый запрос многофакторной аутентификации получен и одобрен, файл cookie аутентификации возвращается жертве через прокси-сервер злоумышленника, где он перехватывается злоумышленником.

Теперь злоумышленник владеет как именем пользователя и паролем жертвы, так и файлом cookie аутентификации с официального сайта.

Двухфакторная авторизация с SMS-кодами имеет свою уязвимость и не гарантирует защиту аккаунтов Авторизация, Двухфакторная аутентификация, Уязвимость, Обход защиты, Обход ограничений, Обход блокировок, Взлом, Защита информации, Информационная безопасность, Хакеры, Длиннопост

Рис. 1. Блок-схема, иллюстрирующая обход MFA с помощью обратного прокси-сервера.

Наборы для фишинга как услуги (PhaaS)

Благодаря готовым наборам инструментов «Фишинг как услуга» (Phaas) практически любой может проводить такого рода фишинговые атаки, не зная многого о том, что происходит «под капотом».

В этой сфере появились такие наборы инструментов, как Tycoon 2FA, Rockstar 2FA, Evilproxy, Greatness, Mamba 2FA и другие.

Со временем разработчики некоторых из этих наборов инструментов добавили функции, чтобы сделать их более простыми в использовании и менее заметными:

  • Наборы для обхода MFA от Phaas обычно включают шаблоны для самых популярных фишинговых целей, чтобы помочь киберпреступникам в организации фишинговых кампаний.

  • Наборы для обхода MFA ограничивают доступ к фишинговым ссылкам только для тех пользователей, у которых есть правильный фишинговый URL-адрес, и перенаправляют других посетителей на безопасные веб-страницы.

  • Наборы для обхода многофакторной аутентификации часто проверяют IP-адрес и/или заголовок User-Agent посетителя, блокируя доступ, если IP-адрес соответствует известной компании по обеспечению безопасности/крадущемуся программному обеспечению или если User-Agent указывает на то, что это бот.

    Фильтры User-Agent также могут использоваться для дальнейшей нацеливания фишинговых атак на пользователей, использующих определённое оборудование/программное обеспечение.

  • Наборы для обхода MFA с обратным прокси-сервером обычно вводят свой собственный код JavaScript на страницы, которые они предоставляют жертвам, для сбора дополнительной информации о посетителе и обработки перенаправлений после кражи файла cookie аутентификации.
    Эти скрипты часто динамически запутываются для предотвращения статического снятия отпечатков пальцев, что позволило бы поставщикам средств безопасности идентифицировать сайты атак в обход MFA.

  • Чтобы обойти антифишинговые защиты, которые могут автоматически переходить по URL-адресам, содержащимся в электронном письме, в момент его получения, может быть предусмотрена короткая программируемая задержка между отправкой фишингового сообщения и активацией фишингового URL-адреса.

Двухфакторная авторизация с SMS-кодами имеет свою уязвимость и не гарантирует защиту аккаунтов Авторизация, Двухфакторная аутентификация, Уязвимость, Обход защиты, Обход ограничений, Обход блокировок, Взлом, Защита информации, Информационная безопасность, Хакеры, Длиннопост

Рисунок 2. Пример фишингового сообщения, связанного с набором инструментов для фишинга Tycoon 2FA.

Ускоряют рост атак в обход MFA через обратный прокси общедоступные инструменты с открытым исходным кодом, такие как Evilginx. Evilginx дебютировал в 2017 году как модифицированная версия популярного веб-сервера с открытым исходным кодом nginx. Со временем приложение было переработано и переписано на Go и реализует собственный HTTP и DNS-сервер. Хотя он позиционируется как инструмент для тестирования red teams на проникновение, поскольку у него открытый исходный код, любой может скачать и модифицировать его.

К счастью для защитников, существуют общие для Evilginx и других инструментов для обхода MFA характеристики, которые могут указывать на то, что атака с обходом MFA уже началась:

  • Многие серверы обратного прокси-сервера для обхода MFA размещены на относительно недавно зарегистрированных доменах/сертификатах.

  • Получение файла cookie для аутентификации предоставляет злоумышленникам доступ к учетной записи жертвы только на этот единственный сеанс.

    Получив доступ к учетной записи жертвы, многие злоумышленники добавляют к учетной записи дополнительные устройства MFA для поддержания сохраняемости.

    Проверяя журналы MFA на предмет такого рода активности, правозащитники могут обнаружить учетные записи, ставшие жертвами атак в обход MFA.

  • По умолчанию URL-адреса фишинговых приманок Evilginx состоят из 8 букв в смешанном регистре.

  • По умолчанию Evilginx использует HTTP-сертификаты, полученные от LetsEncrypt. Кроме того, сертификаты, которые он создаёт по умолчанию, имеют организацию «Evilginx Signature Trust Co.» и общее имя «Evilginx Super-Evil Root CA».

  • После того, как злоумышленник перехватил файл cookie для аутентификации сеанса, он обычно загружает этот файл cookie в свой собственный браузер, чтобы выдать себя за жертву.

    Если злоумышленник не будет осторожен, какое-то время два разных пользователя с разными пользовательскими агентами и IP-адресами будут использовать один и тот же файл cookie сеанса. Это можно обнаружить с помощью веб-журналов или продуктов безопасности, которые ищут такие вещи, как “невозможное перемещение”.

  • Чтобы жертва не переходила по ссылке, которая перенаправляет ее с фишингового сайта, обратный прокси-сервер Evilginx переписывает URL-адреса, содержащиеся в HTML-формате, с законного сайта.

    Популярные цели фишинга могут использовать очень специфические URL-адреса, и сетевые защитники могут искать эти URL-адреса, обслуживаемые с серверов, отличных от легитимного сайта.

  • Многие реализации обратного прокси-сервера для обхода многофакторной аутентификации написаны с использованием встроенных в язык программирования реализаций Transport Layer Security (TLS). Таким образом, отпечаток TLS обратного прокси-сервера и легитимного веб-сайта будет отличаться.

WebAuthn спешит на помощь?

FIDO (Быстрая идентификация личности онлайн) Альянс и W3C создали WebAuthn (Web Authentication API) - спецификацию, которая позволяет выполнять MFA на основе криптографии с открытым ключом. WebAuthn, по сути, не имеет пароля.

Когда пользователь регистрируется в MFA с помощью WebAuthn, генерируется криптографическая ключевая пара. Закрытый ключ хранится на устройстве пользователя, а соответствующий открытый ключ хранится на сервере.

Когда клиент хочет войти в систему, он сообщает об этом серверу, который отвечает запросом. Затем клиент подписывает эти данные и возвращает их серверу. Сервер может проверить, что запрос был подписан с помощью закрытого ключа пользователя.

Пароли никогда не вводятся в веб-форму и не передаются по интернету. Это также делает базы данных аутентификации на стороне сервера бесполезными для злоумышленников. Что хорошего в краже открытого ключа?

Двухфакторная авторизация с SMS-кодами имеет свою уязвимость и не гарантирует защиту аккаунтов Авторизация, Двухфакторная аутентификация, Уязвимость, Обход защиты, Обход ограничений, Обход блокировок, Взлом, Защита информации, Информационная безопасность, Хакеры, Длиннопост

Рисунок 3. Процесс аутентификации WebAuthn.

Рисунок 3. Процесс аутентификации WebAuthn.

В качестве дополнительного уровня безопасности учётные данные WebAuthn также привязываются к источнику веб-сайта, на котором они будут использоваться. Например, предположим, что пользователь переходит по ссылке в фишинговом сообщении на контролируемый злоумышленником обратный прокси-сервер mfabypass.com, который выдаёт себя за банк пользователя.

Адрес в адресной строке веб-браузера не будет соответствовать адресу банка, к которому привязаны учётные данные, и процесс многофакторной аутентификации WebAuthn завершится ошибкой.

Привязка учётных данных к определённому источнику также предотвращает связанные с идентификацией атаки, такие как переполнение учётными данными, когда злоумышленники пытаются повторно использовать одни и те же учётные данные на нескольких сайтах.

Несмотря на то, что спецификация WebAuthn была впервые опубликована в 2019 году, она внедрялась относительно медленно.

Судя по данным телеметрии аутентификации Cisco Duo за последние шесть месяцев, аутентификация с помощью WebAuthn по-прежнему составляет очень небольшой процент от всех аутентификаций с помощью MFA.

В определенной степени это понятно. Многие организации, возможно, уже внедрили другие типы MFA и могут считать, что это достаточная защита.

Однако они могут захотеть пересмотреть свой подход, поскольку все больше и больше фишинговых атак используют стратегии обхода MFA.

Покрытие

Двухфакторная авторизация с SMS-кодами имеет свою уязвимость и не гарантирует защиту аккаунтов Авторизация, Двухфакторная аутентификация, Уязвимость, Обход защиты, Обход ограничений, Обход блокировок, Взлом, Защита информации, Информационная безопасность, Хакеры, Длиннопост

Cisco Secure Endpoint (ранее AMP для конечных устройств) идеально подходит для предотвращения запуска вредоносного ПО, описанного в этой статье. Попробуйте Secure Endpoint бесплатно здесь.

Cisco Secure Email (ранее Cisco Email Security) может блокировать вредоносные электронные письма, отправляемые злоумышленниками в рамках их кампании. Вы можете бесплатно попробовать Secure Email здесь.

Cisco Secure Firewall (ранее называвшиеся Next-Generation Firewall и Firepower NGFW), такие как Threat Defense Virtual, Adaptive Security Appliance и Meraki MX, могут обнаруживать вредоносные действия, связанные с этой угрозой.

Cisco Secure Network/Cloud Analytics (Stealthwatch/Stealthwatch Cloud) автоматически анализирует сетевой трафик и предупреждает пользователей о потенциально нежелательной активности на каждом подключенном устройстве.

Cisco Secure Malware Analytics (Threat Grid) выявляет вредоносные двоичные файлы и встраивает защиту во все продукты Cisco Secure.

Cisco Secure Access — это современная облачная служба безопасности (SSE), построенная на принципах нулевого доверия. Secure Access обеспечивает бесперебойный, прозрачный и безопасный доступ к интернету, облачным сервисам или частным приложениям независимо от того, где работают ваши пользователи.

Если вас интересует бесплатная пробная версия Cisco Secure Access, пожалуйста, свяжитесь с представителем Cisco или авторизованным партнером.

Umbrella, защищенный интернет-шлюз Cisco (SIG), блокирует доступ пользователей к вредоносным доменам, IP-адресам и URL-адресам независимо от того, находятся ли пользователи в корпоративной сети или за ее пределами.

Cisco Secure Web Appliance (ранее Web Security Appliance) автоматически блокирует потенциально опасные сайты и проверяет подозрительные сайты перед доступом к ним пользователей.

Дополнительные средства защиты с учётом особенностей вашей среды и данных об угрозах доступны в Центре управления брандмауэром.

Cisco Duo обеспечивает многофакторную аутентификацию пользователей, гарантируя, что только авторизованные пользователи получат доступ к вашей сети.

Показать полностью 4
[моё] Авторизация Двухфакторная аутентификация Уязвимость Обход защиты Обход ограничений Обход блокировок Взлом Защита информации Информационная безопасность Хакеры Длиннопост
6
Партнёрский материал Реклама
specials
specials

Сколько нужно времени, чтобы уложить теплый пол?⁠⁠

Точно не скажем, но в нашем проекте с этим можно справиться буквально за минуту одной левой!

Попробовать

Ремонт Теплый пол Текст
0
ChirChir
ChirChir
1 месяц назад

Яндэх выбесил⁠⁠

Яндэх выбесил Яндекс, Авторизация, Ошибка

Хочу почту, ан нет - не пускает. Погоняло правильно, пароль правильно, а как ипаный пуш я поймаю на кнопочный телефон? СМС не отправляет. Помогите!

Яндекс Авторизация Ошибка
9
1
nickclick
nickclick
2 месяца назад

РКН: Viber — экстремист. Яндекс: Viber — доверенное лицо⁠⁠

Декабрь 2024 года

РКН: Viber — экстремист. Яндекс: Viber — доверенное лицо Яндекс, Как?, Viber, Авторизация

Апрель 2025 года

РКН: Viber — экстремист. Яндекс: Viber — доверенное лицо Яндекс, Как?, Viber, Авторизация

Я

РКН: Viber — экстремист. Яндекс: Viber — доверенное лицо Яндекс, Как?, Viber, Авторизация
Показать полностью 3
[моё] Яндекс Как? Viber Авторизация
6
4
Вопрос из ленты «Эксперты»
3d3e
3 месяца назад

Госуслуги⁠⁠

Приветствую всех!

Столкнулся с проблемой авторизации на госуслугах. Ребёнку исполнилось 14 лет, надо ему зарегистрироваться. Вводим его номер телефона, который года 2 у нас уже. Пишет, что такой номер уже зарегистрирован. В МФЦ сказали, чтобы меняли номер телефона. Купили новую симку. Опять такая же херня, номер уже на ком-то.

Может кто подскажет, как быть? Не покупать же на удачу без конца симки? Как зарегестрироваться? Если что, то я далёк от компьютеров.

[моё] Авторизация Телефон Вопрос Спроси Пикабу Текст
16
96
Mr.chekmak
Mr.chekmak
3 месяца назад
Сообщество Ремонтёров

Почему Xiaomi, не такой уж и топ за свои деньги⁠⁠

Уже как-то давно я писал о том что скоро в геометрической прогрессии, возрастет количество кирпичей от компании Xiaomi.

Вот пост.

Причин для этого несколько
1. В целях экономии, многие покупают телефоны для китайского региона, и многие не знаю что правила политики перепрошивки сильно изменились. В попытке зашить в него глобалку получаем кирпич
2. Запрет на разблокировку загрузчика. Не понятно зачем и почему, ребята из Китая запретили разблокировку, а как известно шить проще с открытым бутом. Так как количество попыток будет не ограниченным
3. Ужесточения условий привязки устройства к региону. Например если раньше в глобальный телефон можно было прошить прошивку Индонезии или Ру, то сейчас нельзя.
4. Ну и конечно же, цены на авторизированную прошивку для Китайского региона. Из-за высоких цен, количество попыток сильно ограничено. Цена на авторизацию на данный момент около 11 тыс. Ну и работают сервера согласно настроению рандомного китайца или от натальной карты вашего телефона.

А теперь сам пост.
Значит пару дней назад, на Авито, получаю вот такой запрос: "Подскажите, Xiaomi mix flip. Китайский. Ребята попробовали сделать глобальную версию и в итоге сейчас телефон не включается. Можно что-то сделать? Удаленно?"
После недолгих переписок, клиент сориентирован по цене и условиями прошивки через авторизацию.

Условия следующие:
1. Прошивка считается успешной, если выполнена авторизация.
2. Если в процессе будут ошибки(вы дернете кабель, проблема с пк, или проблема не в по) оплата не возвращается.
3. Телефон будет прошит на родную прошивку, в данном случае китайский регион. Не будет русского языка. Будет родная прошивка для китайского рынка.
Никакого русского. Только иероглифы и грусть.
4. Оплата производится вперед.
Как в казино: ставка сделана, рулетка крутится.

Устанавливаем нужный пак для работы
1. Any desk+Rustdesk.
Чтобы клиент видел, как я лью цифровую святую воду.

2.Берем в помощь цифрового напарника.
Больше рук- больше шансов на восстановление.

3. Драйвера.
Которых нет на официальном сайте, как совести у Xiaomi.

4. Программа для авторизации
Вызов китайца с регистрацией и смс.

5. Platform Tools.
Потому что Fastboot иногда прощает грехи

6. UsbRedirector.
Штука, которая заставляет ПК думать, что USB-кабель — это не шнур, а магический портал

7. Программа для Fastboot to edl. Это как с ноукдауна отправить телефон в нокаут.

8. Последняя версия прошивки(высокий арб)
Я запрещаю вам прошивать прошивку.

Дожидаемся следующего утра, пока включаться сервера на авторизацию, достаем парадный бубен и пишем клиенту на Авито в 10 утра.
Подключаемся, считываем информацию с телефона. Скачиваем последнюю прошивку. Проверяем по имей регион продажи устройства. Инструктируем клиента, что телефон нельзя трогать, отключать или перезагружать чтобы не происходило, а в некоторых моментах лучше вообще не дышать.
Распаковываем прошивку в корень диска С, в папку без кириллицы в названии. Устанавливаем драйвера для 9008 и для Adb.
Переводим телефон с режима Fastboot в EDL. Открываем программу для авторизации, в ми флеш указываем путь до папки с прошивкой. Запрещаем клиенту дышать, нажимаем Flash, копируем токен, дожидаемся ответного токена на авторизацию. Видим как пошла прошивка разделов.
Через 1100 секунд (это 18 минут надежды и 5 литров пота).
Когда прошивка закончилась и видим зеленый квадратик и надпись flash done! Радуемся, но пока не сильно.
Запускаем телефон с кнопки включения. Видим первое лого(сердце уже трепещет), еще немного видим второе лого Xiaomi mix flip и пресловутые точки загрузки снизу. Пара минут и слышим звук подключения устройства к компьютеру, что значит что телефон практически загружился. Еще минутка буквально и нас приветствует экран с выбором языка и возможностью настройки.
Парочка учиняющих вопросом, о том как скачать клаву и гугл сервисы, и кирпич полностью готов.
Разрешаем клиенту дышать.

Отзыв на Авито оставлен, кирпич восстановлен, а больше мне и не надо.

Мораль ☝🏻
Если ваш Xiaomi стал кирпичом — не хороните его. Возможно, он просто хочет домой, в Китай.

Мой телеграмм канал

Почему Xiaomi, не такой уж и топ за свои деньги Xiaomi, Прошивка, Авторизация, Длиннопост
Почему Xiaomi, не такой уж и топ за свои деньги Xiaomi, Прошивка, Авторизация, Длиннопост
Почему Xiaomi, не такой уж и топ за свои деньги Xiaomi, Прошивка, Авторизация, Длиннопост
Почему Xiaomi, не такой уж и топ за свои деньги Xiaomi, Прошивка, Авторизация, Длиннопост
Почему Xiaomi, не такой уж и топ за свои деньги Xiaomi, Прошивка, Авторизация, Длиннопост
Почему Xiaomi, не такой уж и топ за свои деньги Xiaomi, Прошивка, Авторизация, Длиннопост
Показать полностью 6
[моё] Xiaomi Прошивка Авторизация Длиннопост
167
136
BurlyLupi
BurlyLupi
3 месяца назад

Принудительная авторизация в Дзене: как VK лишает пользователей выбора⁠⁠

Принудительная авторизация в Дзене: как VK лишает пользователей выбора Дзен, ВКонтакте, Приватность, Авторизация, Конфиденциальность, Безопасность, Интернет, Социальные сети, Персональные данные, Cookie, Браузер, Онлайн-сервис, Цензура, Технологии, Данные, Яндекс Дзен

Изображение создано нейросетью специально для этой статьи.

После перехода Дзена под управление VK пользователи столкнулись с новой проблемой — автоматической авторизацией через VK ID без их согласия. Если в вашем браузере есть активная сессия в любом сервисе VK (например, ВКонтакте, Почта VK и т. д.), то Дзен автоматически выполняет вход без запроса логина и пароля.

Нельзя даже удалить аккаунт, чтобы избавиться от этого

Самое интересное — даже если вы вручную удалите свой аккаунт в Дзене и отвяжете его от VK ID, при следующем заходе сервис снова автоматически создаст вам новый профиль и залогинит вас! То есть выйти из этой системы просто невозможно.

Поддержка советует... чистить куки и менять браузер

Официальный ответ поддержки Дзена сводится к тому, что «авторизация работает так, как задумано». Единственный «способ» отключить её — это полностью очистить куки браузера или использовать другой браузер, в котором вы не входили в VK ID. Но почему пользователь должен идти на такие ухищрения, если он просто хочет сам контролировать, заходить ему в Дзен или нет?

VK всё больше навязывает свою экосистему

Такой подход явно направлен на то, чтобы принудительно втягивать пользователей в экосистему VK, даже если они этого не хотят. Вместо удобства и свободы выбора мы получаем сервис, который буквально заставляет нас авторизовываться.

Если вас беспокоит приватность и безопасность ваших данных, будьте осторожны с Дзеном. Пока что выхода из этого «авторизационного плена» попросту не существует.

Показать полностью 1
Дзен ВКонтакте Приватность Авторизация Конфиденциальность Безопасность Интернет Социальные сети Персональные данные Cookie Браузер Онлайн-сервис Цензура Технологии Данные Яндекс Дзен
112
Посты не найдены
О нас
О Пикабу Контакты Реклама Сообщить об ошибке Сообщить о нарушении законодательства Отзывы и предложения Новости Пикабу Мобильное приложение RSS
Информация
Помощь Кодекс Пикабу Команда Пикабу Конфиденциальность Правила соцсети О рекомендациях О компании
Наши проекты
Блоги Работа Промокоды Игры Курсы
Партнёры
Промокоды Биг Гик Промокоды Lamoda Промокоды Мвидео Промокоды Яндекс Директ Промокоды Отелло Промокоды Aroma Butik Промокоды Яндекс Путешествия Постила Футбол сегодня
На информационном ресурсе Pikabu.ru применяются рекомендательные технологии