Взлом двухфакторной аутентификации: как защитить аккаунт
Российские издания сообщили о новой схеме обхода двухфакторной аутентификации: по данным ProKazan.ru, специалисты лаборатории кибербезопасности Servicepipe выявили атаку, при которой злоумышленники подбирают одноразовые СМС-коды.
В чем суть выявленной схемы
По опубликованной информации, метод был обнаружен при анализе отраженной атаки типа СМС-бомбинга на одного из клиентов Servicepipe. В описании схемы говорится, что мошенники пытаются получать доступ к аккаунтам через подбор одноразовых кодов из СМС.
Если такой подбор оказывается успешным, злоумышленники могут получить доступ к персональным данным пользователя, включая платежную информацию. В зоне повышенного риска, по данным источника, находятся сервисы с короткими кодами подтверждения: банки, маркетплейсы, такси, доставка и каршеринг.
Важно, что речь не о полном отказе от двухфакторной аутентификации как класса, а о конкретном сценарии, где слабым местом становится СМС-код и механизм его проверки. Для пользователя это означает: наличие второго фактора снижает риск, но не гарантирует безопасность, если код можно подобрать или если сам пользователь передает его мошенникам.
Что это меняет для пользователей сервисов
Главный практический вывод — внимательнее относиться к любым СМС-кодам, даже если они приходят от знакомого сервиса. Сам факт получения кода, который пользователь не запрашивал, может быть признаком попытки входа или подбора. Если такие сообщения приходят сериями, это особенно похоже на ситуацию, связанную с СМС-бомбингом, о котором говорится в публикации.
Отдельно в источнике упоминается другая схема: в пресс-службе платформы «Мошеловка» Народного фронта сообщили, что мошенники запугивают россиян блокировкой системы быстрых платежей из-за «подозрительной активности». При так называемой срочной верификации они требуют продиктовать код из СМС, установить вредоносное приложение или перевести деньги на «безопасный счет».
Для читателя это важное пересечение двух рисков: технического подбора кода и социальной манипуляции. В первом случае атакующий пытается обойти проверку на стороне сервиса, во втором — заставляет пользователя самому выдать код или выполнить опасное действие. Оба сценария используют доверие к СМС-подтверждению и срочность ситуации.
Что стоит отслеживать дальше
Для самих сервисов в публикации названы меры защиты: увеличение длины одноразовых кодов, ограничение числа попыток ввода, внедрение антибот-систем, а также переход на push-уведомления или приложения-аутентификаторы. Пользователю при выборе цифрового сервиса теперь стоит обращать внимание не только на наличие двухфакторной аутентификации, но и на то, какие варианты подтверждения доступны.
Если сервис предлагает только короткий СМС-код и не дает альтернативы в виде push-подтверждения или приложения-аутентификатора, риск может быть выше. При этом из доступной информации не следует, что все сервисы одинаково уязвимы или что любая двухфакторная защита бесполезна: опубликованные данные описывают выявленный метод обхода и рекомендации экспертов, а не универсальный взлом всех систем.
Пока неизвестно, насколько широко применяется такая схема и какие конкретно сервисы уже сталкивались с успешными атаками. Поэтому главный сигнал для пользователей — не игнорировать необычные СМС-коды, не сообщать их по телефону или в мессенджерах и с осторожностью относиться к любым требованиям «срочной верификации», особенно если вместе с кодом просят установить приложение или перевести деньги.
Проверка первоисточников
Где сверить правила и документы
Ссылки помогают быстро перейти от советов в статье к официальным реестрам, правилам или справочным сервисам. Перед оплатой или претензией сохраняйте дату проверки.
