Номер телефона стал универсальным средством подтверждения личности. С его помощью восстанавливают пароли, подключают девайсы, завершают финансовые переводы. Рассылая код подтверждения, сервис проверяет: сам держатель номера инициировал действие или постороннее лицо.
Эксперт по кибербезопасности Юрий Силаев, глава лаборатории доверенного искусственного интеллекта РТУ МИРЭА, подчеркнул значимость кода.
"Ввод этой комбинации – финальный сигнал для системы: действие совершает полноправный владелец. Передача цифр другому лицу фактически означает передачу управления аккаунтом. Сервис автоматически наделяет получателя кода всеми правами владельца профиля",- предостерег специалист.
Именно эта особенность делает одноразовые пароли объектом интереса преступников.
"Пока код не введён, доступ заблокирован. Злоумышленники стремятся заполучить цифры через жертву, чтобы руками пользователя пройти финальную проверку. Они используют украденные данные перед отправкой SMS. Если владелец продиктует код – сервис расценит это как подтверждение и откроет доступ к настройкам",- разъяснил Силаев.
Одноразовые коды дают мошенникам значительно больше возможностей, чем предполагают пользователи.
"Получив код, преступники устанавливают новый пароль, меняют контакты, отключают защиту. Возврат контроля усложняется: инфраструктура сервиса воспринимает мошенника как владельца. Технически происходит смена доверенного пользователя – все дальнейшие действия выглядят легитимными",- добавил аналитик.
Юрий Силаев обратил особое внимание на скоротечность последующих событий:
"Безопасность аккаунта изменяется мгновенно: обновляются настройки, добавляются каналы восстановления, возможны операции в связанных сервисах. Пользователь осознаёт проблему, когда привычный вход перестает работать. Повседневность облегчает задачу мошенникам: частые запросы кодов снижают бдительность, а их ложные предлоги выглядят правдоподобно".
Собеседник добавил: в стрессовой ситуации код перестаёт восприниматься как электронная подпись, хотя решающее слово именно за ним.
"Персоналу компаний не требуется сам код, важен лишь факт подтверждения. Любая просьба назвать код означает попытку несанкционированного входа. Помните твёрдо: код предназначен ТОЛЬКО для личного ввода в сервисе, куда вы обращаетесь. Диктовка, пересылка или озвучивание – прямая передача управления аккаунтом злоумышленникам",- заключил Юрий Силаев.
Ранее специалисты рассказали, как распознать подозрительную ссылку без перехода.
Источник: russian.rt.com
