2026-07-06T14:30:21+10:00 2026-07-06T14:30:21+10:00

Защита двухфакторной аутентификации пала. Киберпреступники нашли лазейку

фото: Шедеврум |  Защита двухфакторной аутентификации пала. Киберпреступники нашли лазейку
фото: Шедеврум

Эксперты лаборатории кибербезопасности Servicepipe выявили инновационный метод кибератак, который позволяет злоумышленникам обходить двухфакторную аутентификацию. Этот способ взлома нацелен на аккаунты, защищенные одноразовыми паролями (OTP), доставляемыми через SMS. Представитель компании подчеркнул, что в результате таких действий киберпреступники могут завладеть конфиденциальной информацией пользователей, включая платежные реквизиты.

Данная уязвимость была обнаружена в процессе отражения атаки типа «SMS-бомбинг» на одного из клиентов Servicepipe, имя которого не разглашается. Изначально считалось, что целью таких атак является нанесение финансового ущерба компании за счет массовой отправки SMS. Однако более глубокий анализ показал, что истинная цель злоумышленников – не просто создать нагрузку, а подобрать действительный код авторизации.

Специалисты лаборатории выяснили, что после незначительной доработки автоматизированные боты могут не только инициировать отправку множества SMS, но и перебирать возможные комбинации кодов для получения доступа к учетным записям. Таким образом, финансовые потери от SMS-рассылок оказались лишь побочным эффектом. Основная задача новой атаки – взлом аккаунтов путем подбора коротких OTP.

Представитель Servicepipe отметил, что вероятность успеха атаки значительно увеличивается, если сервисы используют короткие одноразовые пароли и не имеют достаточных механизмов защиты. Это ставит под угрозу всю широко распространенную систему входа по номеру телефона и коду из SMS, создавая фундаментальные риски для безопасности пользовательских данных.

По словам старшего разработчика-исследователя Servicepipe Алексея Верховского, проблема имеет системный характер и затрагивает множество сервисов, использующих OTP в качестве основного метода аутентификации. Руководитель проектов компании «Интеллектуальная аналитика» Тимофей Воронин добавляет, что такая атака особенно опасна для банковского сектора, поскольку открывает возможность несанкционированного доступа к личным кабинетам клиентов.

Наиболее уязвимыми, по мнению Игоря Бедерова, председателя совета по противодействию технологическим правонарушениям КС НСБ России, являются платформы, где номер телефона выступает главным цифровым ключом. К ним относятся сервисы с упрощенной регистрацией: каршеринг, агрегаторы такси, службы доставки еды, маркетплейсы и небольшие банки, предлагающие микрозаймы и удаленное оформление карт. Бедеров поясняет, что бизнес-модели этих компаний ориентированы на скорость, поэтому они часто используют связку «номер телефона + OTP-код» вместо сложных паролей, а их архитектура не была готова к автоматизированному подбору кодов.

Денис Чернов, старший инженер из центра исследования киберугроз Solar 4RAYS, уточняет, что в группе повышенного риска находятся сервисы, применяющие короткие временные коды (4 символа и менее) или использующие в качестве пароля последние четыре цифры номера входящего звонка.

Самые свежие материалы от KONKURENT.RU - с прямой доставкой в Telegram и MAX