Специалисты лаборатории кибербезопасности Servicepipe выявили новую схему компрометации аккаунтов, которая позволяет злоумышленникам обходить двухфакторную защиту с помощью автоматизированного подбора SMS-кодов
Специалисты лаборатории кибербезопасности Servicepipe выявили новую схему компрометации аккаунтов, которая позволяет злоумышленникам обходить двухфакторную защиту с помощью автоматизированного подбора SMS-кодов. Под угрозой банковские приложения, маркетплейсы и сервисы доставки.
Новая атака была обнаружена в ходе анализа отражённого смс-бомбинга. Боты не просто многократно запрашивают отправку сообщений с кодами подтверждения, но и параллельно перебирают возможные комбинации OTP-паролей для авторизации в сервисе.
Особенность метода в том, что он автоматизирован: система пытается войти в аккаунт одновременно с тем, как пользователь получает шквал уведомлений. В случае успеха злоумышленники получают доступ к чувствительным персональным данным, включая платёжную информацию.
В группе риска любые платформы, использующие короткие смс-коды подтверждения: банки, агрегаторы такси, каршеринг, сервисы доставки и маркетплейсы. Эксперты подчёркивают: чем короче код, тем проще его подобрать брутфорсом.
Рекомендации специалистов:
увеличить длину одноразовых кодов (минимум 68 символов);
внедрить строгие лимиты на количество попыток ввода (например, 35 неудачных попыток с блокировкой);
добавить антибот-защиту (капча, анализ поведения пользователя);
по возможности полностью отказаться от SMS в пользу push-уведомлений или TOTP-приложений.