SMS-коды под ударом: эксперты назвали новый сценарий кражи аккаунтов

Эксперт Головин предупредил об уязвимости SMS-кодов для входа в аккаунты

Общество

Фото: [Подмосковье сегодня/Татьяна Замятина]

Двухфакторная аутентификация с SMS-кодами перестала быть панацеей: злоумышленники разработали методы обхода даже этой защиты, предупреждают эксперты. Однако сама технология подтверждения личности остается надежной — уязвимости кроются в способе доставки сообщений. Специалисты советуют переходить на приложения-аутентификаторы и аппаратные ключи, а также объяснили, почему частая смена паролей только вредит.

Исследование лаборатории кибербезопасности Servicepipe выявило новую схему атак на аккаунты, защищенные одноразовыми SMS-кодами. Ведущий аналитик Андрей Головин уточнил интернет-изданию «Ямал-Медиа»: хакеры не взламывают сам принцип двухфакторки, а бьют по слабому звену — мобильным сетям. Уязвимости протокола SS7 и схемы SIM-swapping (когда мошенники через социальную инженерию получают дубликат сим-карты) позволяют перехватывать сообщения или перенаправлять их на свои устройства.

Руководитель направления инфобезопасности Антон Кочетков добавил, что SMS страдают и от бытовых проблем: отсутствие связи в роуминге, на борту самолета или в зоне плохого покрытия делает коды недоступными для самого владельца. Плюс сообщения не имеют сквозного шифрования и проходят через операторскую инфраструктуру, что открывает дополнительные риски.

Эксперты единодушны: лучшая стратегия — отказаться от SMS в пользу TOTP-приложений (например, Google Authenticator) или технологии Passkeys. А вот менять пароль каждую неделю бессмысленно, предупреждает Головин. Частая смена толкает людей на простые комбинации, которые легко подобрать. Обновлять пароль стоит лишь при признаках взлома, после утечек данных или по прямому совету сервиса.

Особое внимание — внезапным SMS с кодом, когда пользователь не пытался войти в аккаунт. В таком случае необходимо немедленно завершить все сеансы, сменить пароль, проверить список активных устройств и способы восстановления доступа. Главное правило: никому не сообщать полученный код, даже если звонящий представляется сотрудником банка или техподдержки.

Мошенники нацелены не только на крупные счета или бизнес-аккаунты. Их главная цель — электронная почта, через которую восстанавливают доступ к «Госуслугам», маркетплейсам, мессенджерам и облачным хранилищам. Получив контроль над почтовым ящиком, преступники постепенно захватывают всю цифровую жизнь жертвы: в переписке находятся паспортные данные, договоры, фото и другая информация для новых афер.

Идеальная защита сегодня выглядит так: длинный уникальный пароль, биометрическая разблокировка телефона, приложение-аутентификатор или менеджер паролей с генерацией кодов, а по возможности — аппаратный ключ безопасности. Такой набор делает аккаунт практически неприступным даже при самых изощренных атаках.

Добавьте mosregtoday.ru в избранное