Специалисты предупредили о новом способе обхода двухфакторной аутентификации
Эксперты по кибербезопасности обнаружили новый способ обхода двухфакторной аутентификации с использованием одноразовых SMS-кодов. При успешной атаке злоумышленники могут получить доступ к учетным записям пользователей и их персональным данным.
Как сообщают "Ведомости" со ссылкой на лабораторию кибербезопасности Servicepipe, специалисты выявили новую схему, позволяющую обходить защиту аккаунтов, использующих одноразовые коды подтверждения (OTP), отправляемые по SMS.
По данным компании, метод был обнаружен во время анализа отраженной атаки типа SMS-бомбинг. Автоматизированные боты способны не только массово запрашивать отправку кодов подтверждения, но и подбирать одноразовые пароли для авторизации.
В результате злоумышленники могут получить доступ к конфиденциальной информации пользователей, включая платежные данные.
По оценке экспертов, наиболее уязвимыми являются сервисы, использующие короткие коды подтверждения, поступающие через SMS. В их числе — маркетплейсы, сервисы такси, банковские приложения, службы доставки и каршеринга.
Для снижения риска подобных атак специалисты рекомендуют использовать более длинные одноразовые коды, ограничивать количество попыток их ввода, внедрять антибот-системы, а также по возможности отказаться от SMS-кодов в пользу push-уведомлений или приложений-аутентификаторов.