# Как мошенники обходят двухфакторную аутентификацию: схемы атак и защита > Двухфакторная аутентификация не гарантирует абсолютной защиты. Мошенники используют SIM-своппинг, фишинговые прокси и атаки на усталость от push-уведомлений. Разбираем каждую схему и объясняем, как настроить действительно надёжную защиту. - **Дата публикации:** 2025-06-25 - **Автор:** Дархан Абенов - **Язык:** Русский - **Теги:** кибербезопасность, мошенничество, Казахстан, антифрод, фишинг --- ## Почему 2FA больше не является абсолютной защитой _Двухфакторная аутентификация_ (_2FA_) — это дополнительный уровень защиты помимо пароля: SMS-код, push-уведомление или одноразовый пароль из приложения. Долгое время считалось, что 2FA надёжно защищает аккаунты. Сегодня мошенники научились обходить большинство её реализаций. Важно понимать: 2FA по-прежнему значительно лучше, чем её отсутствие. Но разные методы 2FA имеют принципиально разный уровень защиты, и знать об уязвимостях необходимо для правильного выбора. > По данным Microsoft, аккаунты с включённой многофакторной аутентификацией взламываются на 99,9% реже, чем без неё. Однако 0,1% — это миллионы атак ежегодно, и именно они наносят наибольший ущерб. ## Атака 1. SIM-своппинг для перехвата SMS OTP _SIM-своппинг_ — это получение дубликата вашей SIM-карты у оператора связи. Имея паспортные данные жертвы (полученные из утечек или через социальную инженерию), мошенник приходит в офис оператора или звонит в колл-центр с заявлением об утере телефона. После выдачи дубликата SIM все SMS-коды идут мошеннику. В Казахстане этот метод особенно эффективен, поскольку большинство банков использует SMS как основной метод 2FA. Оператор выдаёт дубликат SIM в течение 15–30 минут, после чего у мошенника есть время войти в интернет-банк и вывести средства. ### Как защититься от SIM-свопинга - Установите **PIN-код или кодовое слово на SIM-карту** — это дополнительная защита при обращении к оператору. - Подключите услугу запрета замены SIM без личного посещения офиса с паспортом. - Откажитесь от SMS как метода 2FA там, где это возможно — перейдите на приложения-аутентификаторы. - Настройте уведомление от оператора о замене SIM-карты. Подробнее о SIM-своппинге читайте в нашем материале [о SIM-свопинге в Казахстане](/blog/sim-svoping-kazakhstan). ## Атака 2. Фишинговые прокси в реальном времени Это технически наиболее изощрённая атака. Жертва попадает на фишинговый сайт (копию настоящего), вводит логин, пароль и 2FA-код — и всё это в режиме реального времени передаётся мошеннику, который одновременно авторизуется на настоящем сайте. Инструменты вроде _Evilginx_ и _Modlishka_ автоматизируют этот процесс: жертва проходит весь процесс аутентификации на поддельном сайте, не замечая ничего подозрительного, а мошенник получает активную сессию. OTP\-код при этом используется немедленно и не может быть перехвачен повторно — но этого и не нужно. ### Как защититься - Используйте **аппаратные ключи безопасности** (FIDO2/WebAuthn): YubiKey, Google Titan — они привязаны к домену и не работают на фишинговых сайтах. - Внимательно проверяйте URL в адресной строке перед вводом любых данных. - Включите **пассkeys** там, где это возможно — они полностью устойчивы к фишингу. ## Атака 3. Социальная инженерия против сотрудников банка Мошенники звонят в колл-центр банка, представляясь клиентом. Используя персональные данные жертвы (имя, ИИН, последние цифры карты), они убеждают оператора сбросить или отключить 2FA под предлогом «смены телефона» или «проблем с доступом». Это атака не на технологию, а на людей. В Казахстане крупные банки внедрили дополнительные протоколы верификации, однако менее крупные финансовые организации и МФО нередко уязвимы к подобным манипуляциям. ### Как защититься - Установите **кодовое слово** на аккаунт в банке — для любых изменений по телефону потребуется его назвать. - Подпишитесь на уведомления об изменении настроек безопасности. - Если вы не инициировали звонок — перезвоните в банк самостоятельно по номеру с официального сайта. ## Атака 4. OTP-крадущее вредоносное ПО Некоторые Android-приложения из неофициальных источников содержат вредоносный код, который считывает входящие SMS и отправляет содержимое мошенникам. Другой вариант — _overlay-атаки_: поверх настоящего банковского приложения отображается поддельный экран, который перехватывает вводимые данные. ### Как защититься - Устанавливайте приложения **только из Google Play или App Store**. - Не давайте разрешение на чтение SMS сторонним приложениям. - Используйте антивирус на Android — Google Play Protect включён по умолчанию, но дополнительная защита полезна. - Регулярно проверяйте список установленных приложений на наличие незнакомых. ## Атака 5. Push-усталость (MFA Fatigue) Если у вас настроена push-аутентификация (например, через Microsoft Authenticator или подобные приложения), мошенник, узнав ваш логин и пароль, запускает сотни запросов подтверждения. Уведомления приходят непрерывно: в 2 часа ночи, во время совещания, во время вождения. В какой-то момент раздражённая жертва нажимает «Одобрить», чтобы прекратить поток уведомлений. ### Как защититься - Включите опцию **«Number Matching»** или **«Additional Context»** в приложении-аутентификаторе — жертве нужно ввести цифровой код с экрана, а не просто нажать кнопку. - Никогда не одобряйте push-запрос, который вы не инициировали. - При получении неожиданных запросов 2FA — это сигнал о компрометации пароля, немедленно смените его. ## Сравнение методов 2FA по уровню защиты Метод 2FA Уязвим к SIM-свопу Уязвим к фишинг-прокси Уровень защиты SMS OTP Да Да Базовый TOTP-приложение (Google Auth) Нет Да Средний Push-уведомление Нет Частично Средний FIDO2 / Passkeys Нет Нет Высокий Аппаратный ключ (YubiKey) Нет Нет Максимальный ## Рекомендации по настройке надёжной 2FA 1. Для банковских аккаунтов: используйте **приложение-аутентификатор** (Google Authenticator, Microsoft Authenticator, Aegis) вместо SMS, если банк это поддерживает. 2. Для почты и ключевых сервисов: подключите **аппаратный ключ FIDO2** — это абсолютная защита от фишинга. 3. Везде: сохраните **резервные коды восстановления** в защищённом месте (не в почте, которую защищает этот же метод 2FA). 4. Смените SMS-2FA на TOTP везде, где это возможно. 5. Подпишитесь на уведомления о входе — неожиданный вход = сигнал тревоги. **2FA — это не серебряная пуля, но она критически важна.** Выберите максимально защищённый доступный вам метод и регулярно проверяйте настройки безопасности аккаунтов. Каждый дополнительный барьер заставляет мошенников искать более лёгкую цель.