Мошенники научились обходить двухфакторную аутентификацию через автоматизированный подбор кодов из SMS

03.07.2026 09:55

Специалисты лаборатории кибербезопасности Servicepipe обнаружили новый метод кибератак, направленный на взлом аккаунтов, передают "Ведомости". Злоумышленники используют модифицированные бот-сети, которые под видом массовой рассылки сообщений осуществляют скрытый подбор паролей для входа. 

В отличие от обычного спама, целью которого является финансовый ущерб организации за отправку SMS, новая методика позволяет хакерам оперативно подбирать короткие одноразовые коды и получать доступ к личным данным пользователей и их платежной информации.

Наиболее уязвимыми оказались сервисы, где мобильный телефон служит главным цифровым ключом, а защита основана на коротких четырехзначных кодах. В зону риска в первую очередь попадают маркетплейсы, сервисы доставки, такси и микрофинансовые организации, чьи системы изначально проектировались с упором на скорость авторизации, а не на многоуровневую защиту. Эксперты предупреждают, что в таких условиях классическая двухфакторная аутентификация фактически теряет смысл, так как боты способны перехватывать токены и завершать вход в режиме реального времени.

Последствия подобных взломов могут быть критическими — от несанкционированного оформления кредитов до хищения средств с привязанных банковских карт. Для борьбы с этой угрозой разработчики рекомендуют компаниям переходить на более сложные методы защиты, включая использование восьмизначных кодов, буквенно-цифровых комбинаций или внедрение умного фрод-мониторинга, способного блокировать подозрительные сессии на основе геолокации и частоты запросов.

Пользователям, в свою очередь, советуют по возможности переходить на TOTP-приложения, генерирующие коды без участия SMS, и разделять номера телефонов, используемые для критически важных финансовых операций и повседневных интернет-покупок.

Напомним, ранее "Кабельщик" писал, что в России планируют ужесточить оборот M2M-сим-карт и eSIM для борьбы с мошенничеством.