Двухфакторка больше не панацея: как боты подбирают одноразовые пароли
Утром открываете телефон, а там десятки сообщений с кодами подтверждения. Первая мысль — сервис сбоит, спам. На самом деле это может быть атака. Специалисты лаборатории кибербезопасности Servicepipe обнаружили свежий способ обхода двухфакторной аутентификации. Теперь мошенникам не нужно выманивать код у жертвы — они подбирают его автоматически.
Обнаружили угрозу случайно. Servicepipe отражала атаку типа СМС-бомбинг на одного из своих клиентов. Название компании не раскрывают. Обычно при бомбинге злоумышленники массово отправляют запросы на генерацию кодов, чтобы перегрузить сервис или заставить жертву платить за СМС. Но тут боты пошли дальше. Они не просто слали запросы, а пытались подобрать верную комбинацию для входа в учётные записи пользователей.
Механизм такой: автоматизированная программа многократно запрашивает отправку одноразового кода на номер жертвы. Пользователь видит шквал сообщений, часть из них игнорирует. А в это время бот перебирает возможные значения — стандартные четырёх- или шестизначные коды генерируются не случайно, а по определённым алгоритмам. На подбор уходит от нескольких минут до часа. Если код угадан, злоумышленник входит в аккаунт.
Почему это опасно
Раньше двухфакторка считалась почти неуязвимой. Даже если пароль украли, войти без СМС-кода нельзя. Теперь этот рубеж рушится. В случае успеха мошенник получает доступ к почте, соцсетям, банковским приложениям — ко всему, что привязано к номеру телефона и защищено СМС.
В Servicepipe подчеркивают: атака комбинированная. Сначала бомбинг отвлекает пользователя и создаёт шум, а заодно позволяет собрать данные о том, как часто приходят коды. Потом начинается подбор. Жертва может даже не заметить, что её аккаунт уже взломан — увидит лишь лишние сообщения и спишет на глюки.
«Мы зафиксировали атаку на одном из наших клиентов. Такие случаи — пока единичные, но методика будет распространяться», — отметил представитель Servicepipe.
Что говорят специалисты
Атака нацелена не на конкретного пользователя, а на массовый перебор. Мошенники выбирают популярные сервисы с большим количеством аккаунтов и прогоняют ботов по всей базе номеров. Шанс взломать конкретный аккаунт невысок, но если жертв миллионы — единицы всё равно попадутся.
Особенно уязвимы те, у кого включено автоматическое подтверждение входа через СМС без дополнительных проверок. Некоторые приложения позволяют сохранять сессию на устройстве — если бот успеет войти первым, он закрепится в аккаунте надолго.
В «Ведомостях» уточнили: лаборатория Servicepipe уже уведомила затронутые сервисы и рекомендовала усилить защиту. В частности, предлагается ограничить число попыток ввода кода за короткий промежуток времени и использовать капчу. А пользователям — по возможности перейти на аутентификацию через приложения-генераторы кодов или биометрию. СМС остаются самым слабым звеном.
На фоне этой новости вновь зазвучали призывы отказываться от СМС-подтверждения там, где это возможно. Банки и госсервисы постепенно внедряют вход по биометрии или push-уведомлениям. Но до полного перехода — ещё годы. А мошенники не ждут.