Мошенники нашли новый способ взлома двухфакторной аутентификации

ВедомостиHi-Tech

Беззащитный второй фактор

Мошенники нашли новый способ взлома двухфакторной аутентификации при входе в аккаунты. Это может привести не только к краже платежных данных пользователя, но и полной компрометации его цифровой личности, предупреждают эксперты

Наталья Заруцкая
пт. 3.07.2026

Андрей Гордеев / Ведомости

Лаборатория кибербезопасности Servicepipe выявила новый способ атаки, позволяющий обходить механизмы двухфакторной аутентификации для входа в различные аккаунты по одноразовому коду (OTP) из sms, рассказал «Ведомостям» ее представитель. Таким образом злоумышленники могут получить доступ к чувствительным персональным данным пользователя, в том числе к платежной информации, указал он.

Servicepipe обнаружила новый способ во время одной из отраженных атак типа sms-бомбинга (массовых запросов на отправку кодов, изначально направленных на увеличение расходов сервисов) на одного из клиентов, чье название не раскрывает.

Суть атаки

В ходе анализа атаки в лаборатории специалисты Servicepipe обнаружили, что при незначительной модификации логики автоматизированные боты способны не просто генерировать sms-нагрузку, но и получать через подбор (брутфорс-атака) код для авторизации. Специалисты выявили, что множественная отправка кодов из sms и тем самым нанесение прямого финансового ущерба атакуемой организации (она платит за sms) – это лишь следствие sms-бомбинга злоумышленников. Истинная цель новой атаки ботов – подобрать значения коротких ОТР и войти в аккаунты, поясняет представитель лаборатории.

При использовании коротких OTP-кодов и недостаточных защитных механизмах вероятность успеха существенно возрастает, отмечает он. Это компрометирует привычную и массово используемую схему входа по номеру телефона и sms-коду. То есть речь идет не только о финансовых потерях бизнеса на sms-рассылках, но и о фундаментальном риске для безопасности пользовательских данных, констатирует он.

Кто в опасности

Проблема носит системный характер и затрагивает широкий класс сервисов, полагающихся на OTP как основной механизм аутентификации, говорит старший разработчик-исследователь Servicepipe Алексей Верховский. В том числе такая атака опасна для банковской сферы, так как позволяет осуществлять незаконный вход в личные кабинеты пользователей, добавляет руководитель проектов компании «Интеллектуальная аналитика» Тимофей Воронин.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Открыть в приложении