Защиты нет: мошенники научились обходить SMS-подтверждение при двухфакторной авторизации

Надежды правительства на то, что дополнительное аутентификация поможет защитить данные от мошенников, развеяли хакеры.

Минцифры только запланировало обязать россиян проходить двухфакторную идентификацию на портале «Госуслуги», как мошенники тут как тут. С 2022 года россияне должны будут для входа в личный кабинет не только вбивать логин и пароль, но и SMS-код. Охотники за деньгами россиян научились обходить двухфакторную аутентификацию (по коду из SMS-сообщения) для подтверждения платежей в интернете.

Схему мошенников «Известиям» раскрыли в «Лаборатории Касперского». Специалисты сказали, что делается это с помощью параллельного проведения двух операций: фейковой на фишинговом сайте, который стилизован под оплату ОСАГО, и реального перевода денег, инициированного мошенником.

Сценарий «развода» следующий: гражданину посылают сообщение с предложением продлить ОСАГО. Поскольку в сообщении указаны все данные об авто, вплоть до госномера, то владелец спокойно переходит по ссылке, где указаны сумма страховки и еще одна ссылка для оплаты. Ни о чем не подозревающий владелец машины вводит данные карты, после чего появляется сообщение «Формируется SMS-код». Эта запись «висит» почти 30 секунд, а затем перебрасывает на форму ввода кода. И в этот самый момент клиенту поступает SMS от банка. Руководитель отдела развития методов фильтрации контента в «Лаборатории Касперского» Алексей Марченко объясняет это тем, что когда гражданин указывает данные банковской карты, злоумышленники инициируют не оплату, а запрос на списание денег с этой карты.

«На этом этапе у них есть всё необходимое для перевода, кроме проверочного кода. В этот момент пользователь находится на страничке ожидания «Формируется СМС». За это время к нему приходит сообщение. Пользователю кажется, что это СМС для оплаты, хотя на самом деле это СМС для подтверждения перевода денег, который инициировали злоумышленники», — цитируют «Известия» Алексея Марченко.

В тот момент, когда пользователь вводит полученный из банка SMS-код на страничке, появившейся после ожидания, мошенники завершают атаку, подтверждая перевод денег, который они инициировали от себя. О подобной схеме специалисты узнали совсем недавно, да и некоторые банки уже знают о ней, сообщил Марченко. Подобная схема обмана используется и на сайтах объявлений.

Заместитель главы департамента защиты информации Алексей Плешков говорит, что у россиян большой популярностью пользуется услуга оплаты страховки на автомобили через интернет. Поскольку в основном автомобили покупают либо в конце года, либо в начале, то сейчас самое тревожное время, потому что переоформление полисов приходится на декабрь-январь. Именно в этот период и появляются фишинговые сайты страховщиков, предупредил Плешков.

Хотя замдиректора департамента анализа защищенности Digital Security Максим Прокопович убеждает, что на «Госуслугах» есть дополнительные проверки. К примеру, если пользователь осуществляет вход с нового места, что определяется по IP и другим косвенным признакам, то от него потребуют для ввода не только SMS-код, но и других данных для аутентификации.

«Чтобы избежать несанкционированных списаний, клиентам необходимо внимательно читать сообщения от банков с кодом подтверждения. В них, как правило, указываются назначение платежа, наименование получателя, сумма операции и другие реквизиты. Также нужно обращать внимание на адрес получателя на странице сайта, где вводится код подтверждения, и на саму страницу», — дали совет в банке «Открытие».

Ранее сообщалось, что Минцифры с 2022 года вводит новый порядок для входа на портал "Госуслуги". Помимо логина и пароля еще потребуется ввести код, который поступит через SMS. В ведомстве объяснили новое требование защитой от мошенников.