Россиян предупредили о новом способе взлома аккаунтов через подбор кодов из СМС

Россиян предупредили о новом способе взлома аккаунтов через подбор кодов из СМС

изображение: grok

Специалисты по информационной безопасности зафиксировали новую технику получения доступа к чужим учётным записям. Мошенники начали последовательно перебирать одноразовые коды подтверждения, обходя таким путём двухфакторную аутентификацию через СМС, сообщают «Известия».

Представители лаборатории кибербезопасности Servicepipe рассказали, что методику удалось обнаружить во время расследования отражённой атаки с массовой отправкой сообщений, известной как СМС-бомбинг. Целью злоумышленников стал один из клиентов компании. Проведённый анализ вскрыл необычную последовательность действий преступников, отличающуюся от привычных схем кражи одноразовых паролей.

Вместо перехвата или социальной инженерии мошенники пытаются последовательно подбирать возможные комбинации кодов подтверждения. Если защитные механизмы онлайн-сервиса допускают большое количество попыток ввода или используют слишком короткие цифровые комбинации, вероятность успешного подбора заметно растёт. При удачной атаке злоумышленник получает возможность войти в чужую учётную запись без физического доступа к телефону владельца. Под угрозой оказываются личные сведения пользователя, данные профиля, информация о заказах, а в отдельных случаях и платёжные реквизиты, если они сохранены в сервисе.

По оценке специалистов Servicepipe, наиболее уязвимыми остаются цифровые площадки, где для подтверждения личности применяются короткие одноразовые СМС-коды. В первую очередь под ударом находятся:

  • банковские приложения и финансовые сервисы;
  • маркетплейсы и сервисы онлайн-заказов;
  • службы такси, доставки и каршеринга;
  • популярные цифровые платформы с миллионами ежедневных пользователей.

Эксперты считают, что снизить вероятность успешного подбора можно сразу несколькими способами. Один из самых действенных вариантов состоит в увеличении длины одноразового пароля, поскольку рост количества символов многократно усложняет перебор возможных комбинаций. Не менее полезной мерой остаётся жёсткое ограничение числа попыток ввода, после которого дальнейшая авторизация временно блокируется.

Усилить защиту помогает использование систем, способных автоматически распознавать активность программ-ботов. Подобные решения позволяют выявлять подозрительные запросы ещё до завершения процедуры авторизации. Кроме того, специалисты рекомендуют постепенно отказываться от подтверждения входа через СМС в пользу push-уведомлений или специализированных приложений-аутентификаторов, которые считаются более устойчивыми к подобным методам атак.

По мнению специалистов Servicepipe, по мере развития подобных техник владельцам онлайн-сервисов придётся уделять больше внимания не только защите пользовательских данных, но и самим механизмам проверки личности. Даже привычная двухфакторная аутентификация требует постоянного совершенствования, поскольку злоумышленники продолжают искать новые способы обойти существующие ограничения.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: