Как мошенники обходят двухфакторную аутентификацию: схемы атак и защита

Почему 2FA больше не является абсолютной защитой

Двухфакторная аутентификация (2FA) — это дополнительный уровень защиты помимо пароля: SMS-код, push-уведомление или одноразовый пароль из приложения. Долгое время считалось, что 2FA надёжно защищает аккаунты. Сегодня мошенники научились обходить большинство её реализаций.

Важно понимать: 2FA по-прежнему значительно лучше, чем её отсутствие. Но разные методы 2FA имеют принципиально разный уровень защиты, и знать об уязвимостях необходимо для правильного выбора.

По данным Microsoft, аккаунты с включённой многофакторной аутентификацией взламываются на 99,9% реже, чем без неё. Однако 0,1% — это миллионы атак ежегодно, и именно они наносят наибольший ущерб.

Атака 1. SIM-своппинг для перехвата SMS OTP

SIM-своппинг — это получение дубликата вашей SIM-карты у оператора связи. Имея паспортные данные жертвы (полученные из утечек или через социальную инженерию), мошенник приходит в офис оператора или звонит в колл-центр с заявлением об утере телефона. После выдачи дубликата SIM все SMS-коды идут мошеннику.

В Казахстане этот метод особенно эффективен, поскольку большинство банков использует SMS как основной метод 2FA. Оператор выдаёт дубликат SIM в течение 15–30 минут, после чего у мошенника есть время войти в интернет-банк и вывести средства.

Как защититься от SIM-свопинга

• Установите PIN-код или кодовое слово на SIM-карту — это дополнительная защита при обращении к оператору.
• Подключите услугу запрета замены SIM без личного посещения офиса с паспортом.
• Откажитесь от SMS как метода 2FA там, где это возможно — перейдите на приложения-аутентификаторы.
• Настройте уведомление от оператора о замене SIM-карты.

Подробнее о SIM-своппинге читайте в нашем материале о SIM-свопинге в Казахстане.

Атака 2. Фишинговые прокси в реальном времени

Это технически наиболее изощрённая атака. Жертва попадает на фишинговый сайт (копию настоящего), вводит логин, пароль и 2FA-код — и всё это в режиме реального времени передаётся мошеннику, который одновременно авторизуется на настоящем сайте.

Инструменты вроде Evilginx и Modlishka автоматизируют этот процесс: жертва проходит весь процесс аутентификации на поддельном сайте, не замечая ничего подозрительного, а мошенник получает активную сессию. OTP-код при этом используется немедленно и не может быть перехвачен повторно — но этого и не нужно.

Как защититься

• Используйте аппаратные ключи безопасности (FIDO2/WebAuthn): YubiKey, Google Titan — они привязаны к домену и не работают на фишинговых сайтах.
• Внимательно проверяйте URL в адресной строке перед вводом любых данных.
• Включите пассkeys там, где это возможно — они полностью устойчивы к фишингу.

Атака 3. Социальная инженерия против сотрудников банка

Мошенники звонят в колл-центр банка, представляясь клиентом. Используя персональные данные жертвы (имя, ИИН, последние цифры карты), они убеждают оператора сбросить или отключить 2FA под предлогом «смены телефона» или «проблем с доступом». Это атака не на технологию, а на людей.

В Казахстане крупные банки внедрили дополнительные протоколы верификации, однако менее крупные финансовые организации и МФО нередко уязвимы к подобным манипуляциям.

Как защититься

• Установите кодовое слово на аккаунт в банке — для любых изменений по телефону потребуется его назвать.
• Подпишитесь на уведомления об изменении настроек безопасности.
• Если вы не инициировали звонок — перезвоните в банк самостоятельно по номеру с официального сайта.

Атака 4. OTP-крадущее вредоносное ПО

Некоторые Android-приложения из неофициальных источников содержат вредоносный код, который считывает входящие SMS и отправляет содержимое мошенникам. Другой вариант — overlay-атаки: поверх настоящего банковского приложения отображается поддельный экран, который перехватывает вводимые данные.

Как защититься

• Устанавливайте приложения только из Google Play или App Store.
• Не давайте разрешение на чтение SMS сторонним приложениям.
• Используйте антивирус на Android — Google Play Protect включён по умолчанию, но дополнительная защита полезна.
• Регулярно проверяйте список установленных приложений на наличие незнакомых.

Атака 5. Push-усталость (MFA Fatigue)

Если у вас настроена push-аутентификация (например, через Microsoft Authenticator или подобные приложения), мошенник, узнав ваш логин и пароль, запускает сотни запросов подтверждения. Уведомления приходят непрерывно: в 2 часа ночи, во время совещания, во время вождения. В какой-то момент раздражённая жертва нажимает «Одобрить», чтобы прекратить поток уведомлений.

Как защититься

• Включите опцию «Number Matching» или «Additional Context» в приложении-аутентификаторе — жертве нужно ввести цифровой код с экрана, а не просто нажать кнопку.
• Никогда не одобряйте push-запрос, который вы не инициировали.
• При получении неожиданных запросов 2FA — это сигнал о компрометации пароля, немедленно смените его.

Сравнение методов 2FA по уровню защиты

Метод 2FA	Уязвим к SIM-свопу	Уязвим к фишинг-прокси	Уровень защиты
SMS OTP	Да	Да	Базовый
TOTP-приложение (Google Auth)	Нет	Да	Средний
Push-уведомление	Нет	Частично	Средний
FIDO2 / Passkeys	Нет	Нет	Высокий
Аппаратный ключ (YubiKey)	Нет	Нет	Максимальный

Рекомендации по настройке надёжной 2FA

1. Для банковских аккаунтов: используйте приложение-аутентификатор (Google Authenticator, Microsoft Authenticator, Aegis) вместо SMS, если банк это поддерживает.
2. Для почты и ключевых сервисов: подключите аппаратный ключ FIDO2 — это абсолютная защита от фишинга.
3. Везде: сохраните резервные коды восстановления в защищённом месте (не в почте, которую защищает этот же метод 2FA).
4. Смените SMS-2FA на TOTP везде, где это возможно.
5. Подпишитесь на уведомления о входе — неожиданный вход = сигнал тревоги.

2FA — это не серебряная пуля, но она критически важна. Выберите максимально защищённый доступный вам метод и регулярно проверяйте настройки безопасности аккаунтов. Каждый дополнительный барьер заставляет мошенников искать более лёгкую цель.