Специалисты лаборатории кибербезопасности Servicepipe обнаружили новую схему атаки, которая позволяет злоумышленникам обходить двухфакторную аутентификацию (2FA) на основе одноразовых кодов из SMS.

Метод был выявлен при анализе отражённой атаки типа «смс-бомбинг».

Автоматизированные боты способны не только массово запрашивать отправку кодов подтверждения, но и подбирать сами одноразовые пароли, получая доступ к учётным записям пользователей.

мобильный телефон
Фото: ТУТ НЬЮС / мобильный телефон. Автор Виталий Кистерный

Наибольшему риску подвержены сервисы, использующие короткие коды: банки, маркетплейсы, такси, доставка и каршеринг.

Главные мысли за 1 минуту:

  • Специалисты Servicepipe выявили атаку, которая обходит 2FA через подбор одноразовых SMS-кодов.
  • Метод обнаружен при анализе отражённого смс-бомбинга — боты запрашивают коды и тут же их перебирают.
  • В зоне риска — сервисы с короткими кодами: банки, маркетплейсы, такси, доставка, каршеринг.
  • Для защиты эксперты рекомендуют использовать длинные коды, ограничивать число попыток ввода и переходить на push-уведомления или аутентификаторы.

Как работает новая атака

По данным лаборатории, злоумышленники используют автоматизированные боты, которые имитируют запросы на отправку одноразовых кодов (OTP) через SMS. При этом боты не просто забивают канал пользователя спам-сообщениями, а одновременно пытаются подобрать сам код для авторизации. Таким образом, атака объединяет два этапа: массовый запрос кодов (смс-бомбинг) и последующий перебор коротких комбинаций. Если длина кода — 4–6 цифр, а система не ограничивает число попыток, бот может угадать верный пароль за считанные минуты.

Кто под ударом

Под угрозой любые платформы, которые используют короткие коды подтверждения. В первую очередь это финансовые организации, маркетплейсы, сервисы такси, доставки еды и каршеринга. В результате взлома злоумышленники могут получить доступ к чувствительным персональным данным, включая платёжную информацию, и совершить мошеннические действия от имени жертвы.

Рекомендации по защите

Чтобы минимизировать риски, специалисты советуют:

  • использовать более длинные одноразовые коды (например, 8 и более символов);
  • жёстко ограничить количество попыток ввода кода (например, 3–5 попыток);
  • внедрить системы антибот-защиты (CAPTCHA, анализ поведения);
  • по возможности отказаться от SMS-кодов в пользу push-уведомлений или приложений-аутентификаторов (TOTP).

Эти меры, по мнению экспертов, способны существенно затруднить автоматизированный подбор одноразовых паролей и снизить вероятность компрометации аккаунтов.