Мошенники научились обходить двухфакторную аутентификацию подбором SMS-кодов

SMS-код больше не панацея: новый метод взлома ставит под угрозу данные и сбережения
Привычный способ защиты — код из сообщения — перестал быть надёжным. Злоумышленники освоили так называемую «атаку ботов»: автоматизированный подбор одноразовых паролей, которые приходят по SMS. Теперь доступ к аккаунтам, банковским приложениям и платёжным данным можно получить без взлома телефона.
Об этом рассказали в лаборатории кибербезопасности Servicepipe. По словам представителя компании, уязвимость обнаружили в ходе анализа атак типа sms-бомбинга — массовой отправки запросов на коды. Когда пользователю приходит лавина сообщений, а бот параллельно перебирает короткие цифровые комбинации, шансы на успех резко вырастают. Особенно если в сервисе не стоит ограничений на количество попыток или задержек между вводом.
Получается, что двухфакторка с SMS — уже не защита, а скорее имитация. Даже если вы никому не называли код, мошенник может подобрать его за секунды. Доступ к аккаунту — это доступ к деньгам, переписке, личным документам.
В Servicepipe подчёркивают: проблема не только в финансовых потерях. Речь о фундаментальном риске — схема входа по номеру телефона и SMS-коду используется повсеместно. Банки, маркетплейсы, госуслуги — везде. Если её скомпрометируют, последствия затронут миллионы пользователей.
Пока эксперты советуют переходить на аппаратные ключи или приложения-аутентификаторы. SMS стоит рассматривать как запасной, а не основной метод. Но менять привычки массово люди начнут только после громких взломов. Похоже, они не за горами.