Мошенники нашли новый способ взлома аккаунтов
В российских медиа появились сообщения о новом способе взлома аккаунтов с двухфакторной защитой: злоумышленники используют ботов для подбора кодов из СМС.
Почему двухфакторная защита не всегда спасает
Двухфакторная авторизация обычно воспринимается как дополнительный барьер: даже если пароль известен злоумышленнику, для входа нужен одноразовый код. Однако в описанном источниками сценарии слабым местом становится именно короткий код подтверждения.
По данным опубликованного сообщения, преступники запускают автоматизированные боты, которые быстро перебирают цифровые комбинации для входа в чужие профили. Если код удаётся угадать, злоумышленники могут получить доступ к персональным данным и платёжной информации пользователя.
Отдельно отмечается, что в зоне риска находятся сервисы с короткими кодами подтверждения. В качестве примеров названы банковские приложения, маркетплейсы, службы такси, каршеринг и доставка еды. Это как раз те сервисы, где аккаунт часто связан не только с номером телефона, но и с банковской картой, историей заказов, адресами и другими чувствительными данными.
Что это меняет для пользователей сервисов
Главный практический вывод для пользователя — не считать СМС-код абсолютной защитой. Если сервис предлагает альтернативный способ подтверждения входа, стоит обратить внимание на push-уведомления или приложения-аутентификаторы. В опубликованной информации такие варианты названы более надёжными, поскольку временные ключи создаются на устройстве и не сводятся к простому подбору цифр из СМС.
Также стоит осторожнее относиться к неожиданным сообщениям с кодами. Если пользователь получает СМС для входа в сервис, хотя сам не пытался авторизоваться, это может означать, что кто-то уже инициировал попытку доступа. В таком случае разумно проверить настройки безопасности аккаунта, завершить лишние сессии, если такая функция есть, и сменить пароль в сервисе.
Для цифровых сервисов проблема выглядит не только пользовательской, но и продуктовой. По данным источника, специалистам рекомендуют удлинять одноразовые коды, жёстко ограничивать количество попыток ввода и внедрять антибот-системы, которые распознают автоматические запросы на авторизацию. Иными словами, защита должна срабатывать не после успешного подбора, а на этапе подозрительной активности.
За чем следить дальше
Пока из опубликованных материалов следует общий механизм атаки, но не раскрыты масштабы инцидентов, конкретные пострадавшие сервисы и технические параметры уязвимых сценариев. Поэтому пользователям не стоит делать вывод, что любой сервис с СМС-входом уже скомпрометирован. Корректнее воспринимать это как сигнал проверить, какие способы входа и подтверждения операций доступны в наиболее важных приложениях.
В ближайшее время стоит следить, начнут ли сервисы менять правила авторизации: увеличивать длину кодов, сокращать число попыток ввода, активнее предлагать push-подтверждение или аутентификаторы. Для пользователя это может выглядеть как небольшое усложнение входа, но именно такие изменения способны снизить риск автоматического подбора.
Если сервис по-прежнему опирается только на короткий СМС-код и не предлагает дополнительных вариантов защиты, это становится фактором риска при выборе цифрового продукта. Особенно если в аккаунте хранятся платёжные данные, адреса доставки или другая персональная информация.
Проверка первоисточников
Где сверить правила и документы
Ссылки помогают быстро перейти от советов в статье к официальным реестрам, правилам или справочным сервисам. Перед оплатой или претензией сохраняйте дату проверки.
