Мошенники обнаружили уязвимость в системе двухфакторной аутентификации, позволяющую им обходить защиту с помощью подбора одноразовых СМС-кодов. Об этом сообщает газета "Ведомости" со ссылкой на специалистов лаборатории кибербезопасности одной компании.
По словам экспертов, этот метод атаки может быть использован для несанкционированного доступа к личным данным пользователей, включая финансовые сведения.
Новую схему удалось выявить при анализе отраженной атаки СМС-бомбинга. Специалисты установили, что автоматизированные боты могут отправлять массовые запросы на получение кодов и подбирать одноразовые пароли для авторизации.
Наибольшему риску подвержены сервисы, которые используют короткие коды подтверждения, например банки, маркетплейсы, а также сервисы такси, доставки и каршеринга.
Для защиты от подобных атак специалисты советуют использовать более длинные одноразовые коды, ограничивать количество попыток их ввода, устанавливать антибот-системы и по возможности переходить на push-уведомления или приложения-аутентификаторы.
В числе других недавно обнаруженных уловок аферистов оказалась схема обхода контроля за оборотом сим-карт при помощи оформления на подставных лиц. Человек за вознаграждение регистрирует сим-карты, которые затем используются в преступных целях.
Тем не менее государство продолжает бороться со злоумышленниками, постепенно закрывая лазейки. В частности, в стране появился самозапрет на оформление сим-карт. Кроме того, в настоящее время ограничена передача номеров третьим лицам.