Мошенники научились подбирать SMS‑коды для взлома аккаунтов
Злоумышленники используют специальных ботов, чтобы обходить двухфакторную аутентификацию.
Лаборатория кибербезопасности Servicepipe зафиксировала новый способ обхода двухфакторной аутентификации: автоматизированные боты массово запрашивают и подбирают одноразовые коды из SMS (OTP), что позволяет злоумышленникам получать доступ к учётным записям и платёжным данным пользователей, сообщает "Ведомости" со ссылкой на представителей компании.
По данным Servicepipe, схема сочетает элементы SMS‑бомбинга и перебора кодов: боты массово инициируют отправку SMS‑OTP и одновременно пытаются подобрать правильный код, пока сессия аутентификации остаётся действительной.
В результате злоумышленник при успешном подборе получает возможность войти в аккаунт жертвы и, при наличии связанной платёжной информации, совершать финансовые операции или похищать персональные данные.
Эксперты отмечают, что наибольший риск несут сервисы с короткими кодами и слабыми лимитами попыток: банки, маркетплейсы, сервисы такси, доставки и каршеринга, а также другие платформы, использующие SMS‑OTP как основной второй фактор.
Servicepipe и специалисты отрасли советуют увеличить длину одноразовых кодов, жёстко ограничить число попыток ввода OTP и ввести тайм‑ауты между попытками, внедрять антибот‑защиту, а по возможности перейти с SMS на более защищённые методы — push‑уведомления в официальных приложениях, приложения‑аутентификаторы (TOTP) или аппаратные ключи. Кроме того, компаниям следует мониторить и блокировать аномальные потоки запросов на отправку SMS с одного номера или IP‑диапазона, призывают эксперты.
Для пользователей же важно понимать, что SMS‑коды перестают быть гарантией безопасности при отсутствии дополнительных ограничений со стороны сервиса. Поэтому рекомендуется включать более надёжные методы двухфакторной аутентификации, не хранить в аккаунтах платёжные данные без необходимости и немедленно сообщать в службу поддержки при подозрительных входах или множественных запросах на отправку SMS.
Уважаемые читатели!
Подписывайтесь на дзен-канал "Царьград. Новосибирск", наши сообщества во "ВКонтакте" и "Одноклассниках".
Оставайтесь на связи и будьте в курсе!