Эксперты рассказали, как мошенники могут использовать код из СМС-сообщения

Российская Газета

Киберполиция перечислила ключевые данные, которые нельзя сообщать никому и никогда, чтобы не стать жертвой мошенников. Эксперты объяснили, зачем и для чего злоумышленникам нужны эти данные.

Эксперты рассказали, как мошенники могут использовать код из СМС-сообщения
© Российская Газета

"К данным, которые никому нельзя сообщать, относятся номер карты, срок действия, CVC/CVV-код, логины и пароли от интернет-банка, коды из СМС, пуш-уведомления подтверждения. Так же это относится к персональным документам: паспортным данным, ИНН, СНИЛС, фото документов. Никому и ни при каких условиях нельзя также называть любые разовые пароли из СМС, push-коды, QR-коды подтверждения", - отмечается в сообщении в официальном Телеграм-канале.

Зачем же мошенникам нужны заветные 4 или 6 цифр из SMS?

"Наиболее привлекательными целями для злоумышленников остаются аккаунты, связанные с финансовыми сервисами, - банковскими приложениями, платежными системами, а также с государственными платформами и мессенджерами. Через такие каналы можно получить доступ к денежным средствам, оформить кредит на имя владельца либо завладеть личными данными для последующего мошеннического использования", - говорит генеральный директор компании PRO32 Игорь Мандик.

Наибольшую угрозу представляет взлом банковских аккаунтов и профиля на портале "Госуслуги". В первом случае злоумышленник получает прямой доступ к финансовым ресурсам. Во втором - возможность совершать юридически значимые действия от имени пользователя: регистрировать компании, подавать заявления, распоряжаться недвижимостью. Такой взлом приравнивается к фактической краже цифровой идентичности, говорит эксперт.

А по словам ведущего инженера CorpSoft24 Михаила Сергеева, присылаемый код, как правило, подтверждает согласие пользователя на осуществление определенных действий, которые совершают злоумышленники.

"Этого недостаточно для входа в личный кабинет или на "Госуслуги", но достаточно, чтобы, например, подтвердить сброс пароля на новый, привязать другой телефон, почту или изменить настройки безопасности, в том числе отключить двухфакторную аутентификацию", - отмечает эксперт.

Еще одним вектором атаки может стать взломанная ранее связка логин/пароль. Одноразовый код является ключевым элементом двухфакторной аутентификации. Получив его, злоумышленник завершает процесс входа в систему, используя ранее скомпрометированные логин и пароль.

Личный счет
Михаил Сергеев