Что происходит, если на телефон посыпались SMS? Мошенники нашли способ взлома двухфакторной аутентификации
Разное

Что происходит, если на телефон посыпались SMS? Мошенники нашли способ взлома двухфакторной аутентификации

Что происходит, если на телефон посыпались SMS? Мошенники нашли способ взлома двухфакторной аутентификации

Двухфакторная аутентификация на различных сервисах — вещь полезная, но уже не панацея, отмечают эксперт по кибербезопасности. Мошенники нашли способ взлома.

Мошенники придумали очередной хитрый трюк, чтобы пробираться в чужие аккаунты. Они научились обходить двухфакторную защиту — ту самую, когда для входа просят ещё и код из SMS. О такой схеме 3 июля рассказали эксперты из лаборатории кибербезопасности Servicepipe, передают Ведомости.

Как это работает: преступники запускают специальных автоматические программы и боты делают сразу две вещи: много раз подряд запрашивает СМС с кодом подтверждения, а потом тут же пытается угадать этот код. Получается, что он буквально «перебирает» варианты, пока не подберёт нужный. Такую схему заметили, когда разбирали одну реальную атаку: её пытались провести на клиента компании, и специалисты как раз увидели этот двойной удар — и поток SMS, и попытки взлома.

Если мошенникам удаётся подобрать код, они попадают в аккаунт. А там часто хранится много важного: личные данные, платёжные реквизиты, история покупок. Особенно уязвимы те сервисы, где код короткий и можно много раз пробовать его ввести. В зоне риска — банки, маркетплейсы, приложения такси, доставки и каршеринга: именно там люди чаще всего используют вход по SMS.

Эксперты отмечают, что чем длиннее коды, тем сложнее их подобрать. Количество попыток ввода стоит ограничивать — если человек несколько раз ошибся, доступ лучше временно заблокировать. Также стоит ставить защиту от ботов — специальные системы, которые видят автоматическую активность и блокируют её. Однако на эти параметры обычный пользователь повлиять не сможет — это, скорее, на заметку сервисам. 

Что можно сделать уже сейчас? По возможности лучше вообще не пользоваться СМС-кодами, а выбирать другие способы подтверждения — например, пуш‑уведомления или специальные приложения для аутентификации.

Раньше мошенники чаще использовали другой приём: они тоже запускали поток СМС с кодами (это называют СМС‑бомбингом), а потом звонили человеку, притворялись сотрудниками службы безопасности и выманивали данные или уговаривали перевести деньги. Сейчас к этой схеме добавился ещё и автоматический подбор кодов.

По данным экспертов, с начала 2026 года таких атак стало заметно больше — чаще всего пытаются взломать сайты банков, интернет‑магазинов и других сервисов, где есть вход в личный кабинет.

Средний рейтинг
0 из 5 звезд. 0 голосов.