В России мошенники нашли способ обойти защиту СМС-кода

5 просмотров
В России мошенники нашли способ обойти защиту СМС-кода

Специалисты лаборатории кибербезопасности Servicepipe нашли новый способ обхода двухфакторной аутентификации с помощью одноразовых кодов из СМС, рассказал "Ведомостям" представитель компании.

Уязвимость была обнаружена в ходе анализа SMS-бомбинга — массовой рассылки запросов кодов, изначально направленной на увеличение стоимости услуг. При небольшой модификации логики боты способны не только генерировать СМС-загрузку, но и подбирать код авторизации методом перебора.

«Истинная цель новой бот-атаки — подобрать значения коротких OTP и войти в аккаунты», — пояснил представитель лаборатории.

По его словам, при использовании коротких кодов и недостаточных защитных механизмов вероятность успешной атаки существенно возрастает.

Сферы наибольшего риска — сервисы с упрощенной регистрацией — каршеринг, агрегаторы такси, доставка еды, маркетплейсы и небольшие банки, выдающие микрозаймы дистанционно, — говорит председатель Совета по борьбе с технологическими правонарушениями Конституционного суда СНБ России Игорь Бедеров.

"Все привыкли думать, что код в СМС — это вторая, а значит, надежная линия защиты. Но если канал доставки этого кода скомпрометирован, двухфакторная аутентификация превращается в фикцию", — отметил эксперт.

Старший разработчик-исследователь Servicepipe Алексей Верховский пояснил, что уровень защиты напрямую зависит от длины кода — четырехзначная версия имеет всего 10 тысяч комбинаций, а шестизначная — 1 миллион. Предприятиям рекомендуется отказаться от аутентификации только с использованием OTP в пользу комбинации пароля и кода, а сами коды сделать буквенно-цифровыми.