MForum.ru
09.07.2026,
Речь идет о способах аутентификации, которые используют одноразовый код (OTP - от One-Time Password - одноразовый пароль) из SMS. Об этом 3 июля рассказывали Ведомости. Я не специалист по кибербезу, но фраза "людям пора пересмотреть свое отношение к номеру телефона как к идентификатору", показалась мне справедливой и важной. Поэтому ее я упомянул, а статью разбирать не стал. Но раз уж меня попросили поподробнее рассказать о теме и высказать свое мнение, сделаю это.
Как работает гибридная атака
В ее основе комбинация двух известных механизма: прежде всего, SMS-бомбинга, то есть массовой рассылки множества SMS на номер жертвы, давно известный. Раньше его целью было увеличить расходы сервиса (который платит за каждое сообщение). А теперь было замечено, что массированный SMS-бомбинг используется не как самоцель, а как прикрытие для параллельного брутфорса OTP-кодов (автоматизированного перебора возможных кодов подтверждения на странице входа). SMS-бомбинг, заваливающий телефон жертвы сообщениями, маскирует попытки входа в аккаунт.
Оба эти метода давно известны по-отдельности, а вот их сочетание - вроде бы свежий тренд. Это компрометирует массово используемую схему авторизации по номеру телефона и SMS-коду, создавая фундаментальные риски безопасности пользовательских данных. Вообще-то брутфорс легко парируется ограничением на число попыток ввода кода и длинным таймаутом, но, оказывается не все сервисы ставят такие ограничители, тем более, что их наличие само по себе может быть проблемой для атакуемого пользователя.
В теории, методом гибридной атаки можно войти и в личные кабинеты пользователей некоторых банков, утверждают специалисты. Всюду, где бизнес-модель нацелена на простоту и скорость обслуживания, как в каршеринге, агрегаторах такси, доставках еды, маркетплейсах. Архитектуры таких сервисов не была рассчитана на то, что злоумышленник пытается автоматизированно инициировать вход и автоматизированно вытащить код. Особенно рискованны способы, где используют 4-значные коды (ведь это всего 10 тысяч комбинаций от 0000 до 9999).
Перехват SMS
Другой вид атаки, куда более сложный, но и более эффективный - если скомпрометирован канал получения SMS. Представим, что у злоумышленников есть способ перехватывать SMS-сообщения, приходящие на телефон «на лету», например, за счет использования уязвимостей SS7 или вредоносного ПО, которые установлено на телефон пользователя (в эпоху «бесплатных VPN» обзавестись таким несложно). В этом случае бот просканирует входящие сообщения в реальном времени, извлечет токен, передаст злоумышленнику, который автоматизированно авторизуется в сервисе раньше вас.
Что предлагают в качестве защиты
Минимальная мера - увеличить длину кода хотя бы до 8 цифр (100 млн комбинаций) или использовать буквенно-цифровые варианты - тогда даже 6-значная комбинация даст гораздо больше вариантов.
Обязательны ограничения на число попыток ввода и отслеживание аномальной активности. Однако простое блокирование после нескольких ошибок может стать инструментом для DoS-атаки (злоумышленник может намеренно постоянно вводить неверные коды, чтобы заблокировать вам доступ). Разумнее внедрять гибкие механизмы: капчу, переход на другой фактор (например, запрос пароля) - как сейчас сделано в некоторых банках, когда после неудачного скана отпечатка предлагается ввести PIN-код.
Более надежные решения
Самый надёжный путь - отказ от аутентификации только по OTP. Хорошим вариантом считается связка «пароль + OTP» (именно это - двухфакторность в ее классическом смысле).
Отказ от номера телефона как идентификатора
Предложение отказа от использования номера телефона как идентификатора прозвучало вскользь, его автор - председатель совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров.
Что можно использовать вместо?
ТОТР-приложения, генерирующие коды офлайн, на устройстве – предлагает автор идеи. Например, тот же Google Authenticator. TOTP действительно считаются экспертами более безопасными, чем SMS, поскольку код не передаётся по эфиру. Microsoft, например, с 30 сентября 2025 года поэтапно отказывается от SMS и голосовых вызовов как методов 2FA в Microsoft Entra, заменяя их на более устойчивые к фишингу методы. Я не до конца верю в их абсолютную безопасность, но факт остаётся фактом - по статистике утечек SMS-канал гораздо уязвимее.
Другой совет – использовать разные номера телефонов для критичных банковских и менее критичных сервисов доставки – простое, не самое удобное для пользователя предложение, особенно на фоне растущих ограничений на количество номеров и на немалые расходы на их аренду у операторов.
Мобильная цифровая подпись (например, «Госключ») - надёжный криптографический метод. Однако остается вопрос массового внедрения: не все пользователи готовы будут установить на смартфон государственное приложение.
Push-уведомления - более безопасны, чем SMS, но зависят от доступа к интернету и от сервисов Google FCM / Apple APNS. В условиях российских реалий это может создавать проблемы с доставкой, плюс не всем нравится полагаться на иностранные платформы.
Итого
Изящного и надёжного решения пробелмы «на раз-два-три» нет. Но законодательный запрет использования 4-значных OTP-кодов для аутентификации в сервисах выглядит разумной мерой – это снизило бы риски использования самых массовых сервисов. Что скажут в #Минцифры ?
--
✓ подписаться на tg-канал
✓ Бойко про телеком в VK
--
теги: информационная безопасность кибербезопасность аутентификация авторизация мнения
--
Публикации по теме:
24.05.2026. ИКС Холдинг прирос компанией Crosstech Solutions Group
21.05.2026. Verizon: ИИ-атаки стали главной угрозой кибербезопасности в 2025 году
19.05.2026. ИКС Холдинг и МГТУ им. Баумана будут сотрудничать в рамках подготовки инженеров
15.05.2026. Специалисты по ИБ без опыта работы не нужны почти никому
12.03.2026. Yandex B2B Tech объявил об итогах работы за 2025 год
21.01.2026. ЦОД Федоровское прошел аттестацию по 152-ФЗ (УЗ-1)
12.01.2026. Почти треть российских компаний не имеет собственной команды по кибербезопасности
23.12.2025. ФСТЭК внесла в банк данных угроз ИБ риски, связанные с ИИ
16.09.2025. Альфа ID обеспечит авторизацию в публичных Wi-Fi сетях Билайна
29.07.2025. Специалисты по ИБ МегаФона отмечают изменение характера DDoS-атак
23.06.2025. МТС сообщает о запуске мобильного приложения и тарифа Membrana во всех регионах присутствия
28.05.2025. Билайн в Мордовии - запущена автоматизированная система оповещения
24.05.2025. Crosstech Solutions Group
24.05.2025. Гарда
24.05.2025. Бастион
14.04.2025. Beeline cloud подтвердил соответствие требованиям ИБ, получив международные сертификаты ISO/IEC
13.03.2025. Порядка 70% мошеннических атак в мессенджерах приходятся на WhatsApp
27.01.2025. B2B - Билайн отмечает рост спроса на услуги в сфере ИБ
14.01.2025. Каждый пятый офисный работник в Кирове никогда не проходил инструктаж по информационной безопасности
10.07. SpaceX Gen3 - все более грандиозная программа
10.07. Корпоративные сети бизнеса в 2026 году - аналитический обзор
10.07. Fab2 – фаб фабов или как гаражный проект стал бизнесом, востребованным в отрасли
10.07. Micron увеличивает заявленные инвестиции в США до $250 млрд
09.07. МТС установил систему видеонаблюдения в ЖК в центре Благовещенска
08.07. SpaceX запустила первый в мире коммерческий спутник с бета-вольтаическим источником энергии
08.07. Yadro объявляет о начале приема на совместные программы с МФТИ, ИТМО, МИЭТ и ВШЭ
08.07. Мошенники продолжают звонить – 26% от нежелательных вызовов приходятся на 5 регионов
08.07. МегаФон расширил сеть в Новоаннинском районе Волгоградской области
08.07. Билайн запустил новые БС 4G в пригороде Самары и в селах области
07.07. МегаФон объединил программных роботов на единой платформе Zephyr
07.07. Минцифры собирается решить проблему доступа к земельным участкам «по-китайски»
07.07. Элемент будет готовить кадры по микроэлектронике во Вьетнаме
10.07. Realme Narzo 100x 5G с батареей 8000 мАч и 144 Гц-дисплей представят 15 июля
10.07. HMD Arc 2 - бюджетник с улучшенным процессором и минимальными изменениями
10.07. Redmi Note 17 Pro – 9000 мАч, 5-летняя защита аккумулятора и бесплатная замена батареи
09.07. Появились первые слухи о Vivo V80 – дисплей 144 Гц, батарея 7200 мАч и перископная камера
09.07. Характеристики iQOO Z11 для Индии будут отличаться от глобальной версии
08.07. Nothing Ear (3a) – бюджетные наушники с записью разговоров и 42 часами автономност
08.07. Nothing Phone (4b) – доступный смартфон с большой батареей и фирменным дизайном
08.07. Honor Robot Phone может выйти в августе 2026 года
07.07. Vivo Y500 дебютировал на глобальном рынке с батареей 8100 мАч
07.07. Moto G77 Power официально представлен перед релизом 8 июля
07.07. Раскрыты ключевые характеристики Vivo X300e – АКБ 7100 мАч, перископный зум и плоский экран
06.07. Samsung Galaxy Jump 5 – операторский аппарат на базе Galaxy A27 5G
06.07. Vivo Pad 5c – доступный планшет с 144 Гц, Snapdragon 8s Gen 3 и батареей 10 000 мАч
03.07. Huawei Band 11, Band 11 Metal и Band 11 Pro – доступные фитнес-браслеты с AMOLED-экранами и GNS
03.07. Данные о Samsung Galaxy A18 показали обновление стратегии и отказ от Exynos
02.07. Redmi K90 Ultra получил Snapdragon 8 Elite, активное охлаждение и батарею 8550 мАч
02.07. Nothing Phone (4b) – дата анонса, ключевые характеристики и дизайн
01.07. Ключевые характеристики Samsung Galaxy Z Fold8 раскрыты до анонса
01.07. OnePlus N6 дебютировал в Индии: 8000 мАч, Dimensity 6360 Max и цена от $243
01.07. В iPhone 2027 экраны останутся прежними — 60 Гц у iPhone 18e и 120 Гц у остальных