Мошенники научились обходить двухфакторную аутентификацию
Мошенники нашли способ обхода двухфакторной аутентификации, используя уязвимость в системе одноразовых СМС-кодов. Злоумышленники могут получать несанкционированный доступ к личным данным пользователей, включая финансовую информацию. Об этом сообщают «Ведомости» со ссылкой на специалистов лаборатории кибербезопасности одной компании.
Новый метод был выявлен при анализе отраженной атаки СМС-бомбинга. Специалисты установили, что автоматизированные боты способны массово отправлять запросы на получение кодов и подбирать одноразовые пароли для авторизации. Наибольшему риску при этом подвержены сервисы, использующие короткие коды подтверждения, включая банки, маркетплейсы, службы такси, доставки и каршеринга.
Для снижения рисков эксперты рекомендуют использовать более длинные коды подтверждения, ограничивать количество попыток ввода, внедрять антибот-защиту, а также переходить на push-уведомления и приложения-аутентификаторы.
Отдельно специалисты отмечают, что ранее злоумышленники также применяли схему с оформлением сим-карт на подставных лиц для обхода контроля. В ответ на подобные угрозы государство усиливает меры безопасности, включая самозапрет на оформление сим-карт и ограничения на передачу номеров третьим лицам.
Ранее мошенники запустили схему обмана россиян с мнимой блокировкой СБП. По словам экспертов, абонентам звонят или присылают сообщения от имени сотрудников банков и контролирующих органов, запугивая техническим сбоем или подозрительными операциями. Для «срочной верификации» жертву просят продиктовать код из СМС, установить ПО под видом официального приложения или перевести деньги на «безопасный счет».
