Что происходит, если на телефон посыпались SMS? Мошенники нашли способ взлома двухфакторной аутентификации
Двухфакторная аутентификация на различных сервисах - вещь полезная, но уже не панацея, отмечают эксперт по кибербезопасности. Мошенники нашли способ взлома.
Мошенники придумали очередной хитрый трюк, чтобы пробираться в чужие аккаунты. Они научились обходить двухфакторную защиту - ту самую, когда для входа просят ещё и код из SMS. О такой схеме 3 июля рассказали эксперты из лаборатории кибербезопасности Servicepipe, передают Ведомости.
Как это работает: преступники запускают специальных автоматические программы и боты делают сразу две вещи: много раз подряд запрашивает СМС с кодом подтверждения, а потом тут же пытается угадать этот код. Получается, что он буквально "перебирает" варианты, пока не подберёт нужный. Такую схему заметили, когда разбирали одну реальную атаку: её пытались провести на клиента компании, и специалисты как раз увидели этот двойной удар - и поток SMS, и попытки взлома.
Если мошенникам удаётся подобрать код, они попадают в аккаунт. А там часто хранится много важного: личные данные, платёжные реквизиты, история покупок. Особенно уязвимы те сервисы, где код короткий и можно много раз пробовать его ввести. В зоне риска - банки, маркетплейсы, приложения такси, доставки и каршеринга: именно там люди чаще всего используют вход по SMS.
Эксперты отмечают, что чем длиннее коды, тем сложнее их подобрать. Количество попыток ввода стоит ограничивать - если человек несколько раз ошибся, доступ лучше временно заблокировать. Также стоит ставить защиту от ботов - специальные системы, которые видят автоматическую активность и блокируют её. Однако на эти параметры обычный пользователь повлиять не сможет - это, скорее, на заметку сервисам.
Что можно сделать уже сейчас? По возможности лучше вообще не пользоваться СМС-кодами, а выбирать другие способы подтверждения - например, пуш‑уведомления или специальные приложения для аутентификации.
Раньше мошенники чаще использовали другой приём: они тоже запускали поток СМС с кодами (это называют СМС‑бомбингом), а потом звонили человеку, притворялись сотрудниками службы безопасности и выманивали данные или уговаривали перевести деньги. Сейчас к этой схеме добавился ещё и автоматический подбор кодов.
По данным экспертов, с начала 2026 года таких атак стало заметно больше - чаще всего пытаются взломать сайты банков, интернет‑магазинов и других сервисов, где есть вход в личный кабинет.