В чём особенность схемы
Согласно сообщению, новую технику зафиксировали специалисты лаборатории кибербезопасности Servicepipe во время расследования отражённой атаки, связанной с массовой отправкой сообщений — СМС-бомбингом. Целью злоумышленников стал один из клиентов компании, а анализ показал необычную последовательность действий.
Вместо того чтобы пытаться выманить одноразовый пароль у пользователя или перехватить его, атакующие последовательно перебирают возможные комбинации кода подтверждения. Если онлайн-сервис допускает много попыток ввода или использует короткие цифровые коды, вероятность успешного подбора, как следует из опубликованной информации, возрастает.
При удачной атаке злоумышленник может войти в чужую учётную запись без физического доступа к телефону владельца. В зоне риска в таком случае оказываются данные профиля, личная информация, сведения о заказах, а в отдельных случаях — платёжные реквизиты, если они сохранены внутри сервиса.
Полезная подборка по близкой теме — главная подборка.
Почему это важно для пользователей цифровых сервисов
Новость показывает слабое место не у конкретного пользователя, а у механики входа в сервис. Даже если человек никому не сообщает код из СМС, не переходит по подозрительным ссылкам и не устанавливает сторонние приложения, риск может возникнуть на стороне площадки, если она плохо ограничивает число попыток ввода.
Для пользователя практический вывод простой: стоит внимательнее относиться к сервисам, где вход или восстановление доступа завязаны только на короткий СМС-код. Если площадка предлагает альтернативные способы подтверждения — push-уведомления или приложение-аутентификатор, — такие варианты, по мнению специалистов, могут быть более устойчивыми к подобным атакам.
Отдельный сигнал для внимания — неожиданный поток СМС с кодами подтверждения или уведомлениями о входе. В опубликованном сообщении атака была выявлена в контексте СМС-бомбинга, поэтому массовые сообщения могут указывать на попытку злоупотребления механизмами авторизации. В такой ситуации лучше не вводить коды в сомнительных формах и проверить активные сессии в важных аккаунтах, если такая функция доступна.
Смежные инструкции собраны здесь — цифровые сервисы.
Что должны усилить сервисы и за чем следить дальше
По данным сообщения, снизить вероятность успешного подбора помогают несколько мер на стороне онлайн-платформ. Среди них — увеличение длины одноразового пароля, жёсткое ограничение числа попыток ввода и временная блокировка дальнейшей авторизации после превышения лимита. Также упоминаются системы, которые способны распознавать активность ботов и подозрительные запросы ещё до завершения входа.
Для рынка цифровых сервисов эта история важна тем, что двухфакторная аутентификация сама по себе не является гарантией безопасности, если её реализация допускает перебор. Владельцам площадок придётся уделять внимание не только хранению пользовательских данных, но и тому, как именно устроена проверка личности при входе.
Пока из опубликованной информации не следует, какие именно сервисы оказались уязвимыми и насколько широко применяется такая техника. Поэтому пользователям стоит следить за уведомлениями своих ключевых сервисов о новых способах входа, настройках безопасности и возможном переходе от СМС-кодов к более защищённым вариантам подтверждения.
