Servicepipe выявила новый способ обхода двухфакторной аутентификации

Автор: Челомеев Никита

Специалисты Servicepipe обнаружили новый метод атаки, обходящий двухфакторную аутентификацию через подбор одноразовых смс-кодов. Под угрозой банки, маркетплейсы и сервисы такси. Для защиты рекомендуется использовать более длинные коды и push-уведомления

Специалисты лаборатории кибербезопасности Servicepipe обнаружили новый метод атаки, позволяющий обходить механизмы двухфакторной аутентификации за счет подбора одноразовых кодов из смс-сообщений.

Лаборатория кибербезопасности Servicepipe выявила новый способ атаки, позволяющий обходить механизмы двухфакторной аутентификации для входа в различные аккаунты по одноразовому коду (OTP) из смс, — сообщает газета «Ведомости» со ссылкой на представителя компании.

Как уточнил собеседник издания, в результате таких действий злоумышленники могут получить доступ к конфиденциальным персональным данным пользователя, включая платежную информацию.

В Servicepipe пояснили, что новый метод был выявлен в ходе анализа отраженной атаки типа смс-бомбинга. По данным компании, автоматизированные боты способны не только массово инициировать отправку смс-кодов, но и осуществлять подбор одноразовых паролей для последующей авторизации, получая полный доступ к учетным записям пользователей.

Как полагают эксперты, в зоне повышенного риска находятся сервисы, применяющие короткие коды подтверждения. В первую очередь это относится к:

  • банкам
  • маркетплейсам
  • сервисам такси
  • доставки
  • каршеринга

Для защиты от подобных угроз специалисты, как пишут «Ведомости», рекомендуют:

  1. внедрять более длинные одноразовые коды
  2. ограничивать количество попыток их ввода
  3. использовать системы антибот-защиты
  4. по возможности заменять смс-коды на push-уведомления или приложения-аутентификаторы
Подписывайтесь на нас в Телеграме и первыми узнавайте о главных новостях и важнейших событиях дня.


Новости партнеров