Специалисты лаборатории кибербезопасности Servicepipe выявили новый способ обхода двухфакторной аутентификации через одноразовые коды из sms, рассказал «Ведомостям» представитель компании.
Уязвимость обнаружили в ходе анализа атаки типа sms-бомбинга – массовой отправки запросов на коды, изначально направленной на увеличение расходов сервисов. При незначительной модификации логики боты способны не только генерировать sms-нагрузку, но и подбирать код авторизации методом брутфорса.
«Истинная цель новой атаки ботов – подобрать значения коротких OTP и войти в аккаунты», – пояснил представитель лаборатории.
По его словам, при использовании коротких кодов и недостаточных защитных механизмах вероятность успеха атаки существенно возрастает.
В зоне наибольшего риска находятся сервисы с упрощенной регистрацией – каршеринг, агрегаторы такси, доставка еды, маркетплейсы и небольшие банки, выдающие микрозаймы удаленно, считает председатель совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров.
«Все привыкли считать, что код в sms — это второй, а значит, надежный рубеж обороны. Но если канал доставки этого кода скомпрометирован, двухфакторная аутентификация превращается в фикцию», – отметил эксперт.
Старший разработчик-исследователь Servicepipe Алексей Верховский пояснил, что уровень защиты напрямую зависит от длины кода – четырехзначный вариант имеет всего 10 тысяч комбинаций, тогда как шестизначный – уже 1 млн. Бизнесу рекомендуется отказаться от аутентификации только по OTP в пользу связки пароль плюс код, а сами коды делать буквенно-цифровыми.