Как угадать код подтверждения

Что делать, если на телефон приходят SMS с кодами подтверждения от разных служб

Сегодня мало людей общается через SMS. Как правило, мы переписываемся в мессенджерах и социальных сетях, а СМС приходят только от сервисов, которыми мы пользуемся. Это может быть шаблонное поздравление от магазина, информация об акции или текст, оповещающий о необходимости пополнить счет. На такие сообщения люди почти не обращают внимания, но порой в СМС приходят коды подтверждения. И вот тут нужно насторожиться, поскольку подобные SMS нередко являются признаком взлома аккаунта.

Коды подтверждения могут приходить в большом количестве, и это —плохой знак

Что такое код подтверждения

Для понимания того, с чем мы имеем дело, сначала нужно напомнить, что такое код подтверждения. Это одноразовая комбинация цифр, которая используется для верификации пользователя. Мы вводим ее во время регистрации по номеру телефона, при подтверждении входа в аккаунт или при попытке изменить данные учетной записи, если в настройках аккаунта была включена двухфакторная аутентификация.

⚡ Подпишись на Androidinsider в Дзене, где мы публикуем эксклюзивные материалы

Комбинации цифр могут приходить в виде оповещений (в частности, так происходит при использовании приложения «Почта России»), но обычно нам поступают именно СМС с кодами подтверждения. А человеку остается вставить последовательность цифр в соответствующее поле на сайте или в приложении, чтобы завершить авторизацию.

Код подтверждения запрашивается при регистрации, а также при входе в учетную запись, в настройках которой включена двухфакторная аутентификация

Коды подтверждения имеют ограниченный срок действия. Если вы один раз ввели его неправильно, нужно запрашивать повторную отправку сообщения. Всегда будьте на чеку. Никому не сообщайте код, чтобы посторонний человек не смог войти в аккаунт или изменить его настройки.

Почему пришли коды подтверждения

Существует масса причин, объясняющих, почему вам пришел код подтверждения Ватсап или другого сервиса. Если вы проходите авторизацию, то появление сообщения с комбинацией цифр кажется вполне логичным продолжением процесса. Другое дело, если вам пришли СМС с кодами подтверждения без видимых на то причин. Рассмотрим несколько версий произошедшего.

Если пришел только один код, сильно переживать не стоит

Во-первых, это может быть запоздалое сообщение. Люди частенько жалуются, что не приходят коды подтверждения, а тут — держите. Но вероятность подобного сценария мала. Скорее всего, кто-то пытается авторизоваться на сайте или в приложении, используя ваш номер телефона.

❗ Поделись своим мнением или задай вопрос в нашем телеграм-чате

Кто же это? Есть несколько объяснений. Наименее вероятное — друг со своими бездарными шутками. Он знает номер и таким образом хочет вас разыграть (ох, лучше бы скачал вирус на телефон).

Массовая рассылка кодов подтверждения — признак того, что ваш номер утек в сеть, или кто-то пытается взломать аккаунт с двухфакторной аутентификацией

Куда более вероятной выглядит попытка мошенника авторизоваться в вашей учетной записи для дальнейшей кражи персональных данных. Мы постоянно читаем новости об утечках. Не исключено, что кто-достал логин и пароль аккаунта из слитой базы, после чего ему осталось сделать один шаг для завершения взлома — ввести код подтверждения. Или, возможно, злоумышленник использует код, чтобы изменить настройки учетной записи и в конечном итоге завладеть ей.

Страшно? Выдохните. Чаще всего ваш код подтверждения — ключ ко входу в учетную запись. То есть кто-то пытается войти в аккаунт какого-то сервиса, используя чужой номер. Случайно или нет — другой вопрос. Стоит насторожиться, но точно не паниковать.

⚡ Подпишись на Androidinsider в Пульс Mail.ru, чтобы получать новости из мира Андроид первым

Что делать, если приходят коды подтверждения

Нужно попытаться максимально обезопасить свои учетные записи

Дальнейший план действий напрямую зависит от того, почему пришел код подтверждения. Если он один, то угроза невелика. Может, действительно кто-то указал ваш номер по ошибке, или это запоздалое сообщение? Главное — никому не сообщайте последовательность цифр. Если пришли СМС с кодами подтверждения в большом количестве, действуйте решительно:

1. Проверьте, от кого поступило сообщение. Если оно пришло от сервиса, в котором у вас нет учетной записи, то можно расслабиться. Да, ваш номер, скорее всего, слили в сеть (как и миллионы других номеров). Но код подтверждения в данном случае используется не для изменения настроек аккаунта и не является признаком взлома.
2. Если код подтверждения поступил от сервиса, в учетной записи которого у вас включена двухфакторная аутентификация, обязательно войдите в настройки аккаунта и как можно скорее измените пароль.
3. Проверьте смартфон на наличие вирусов и подозрительных приложений. Если злоумышленник узнает код, то без труда осуществит задуманное. Да, вероятность того, что мошенник не только завладел номером, но и получил доступ к телефону, минимальна, однако лишней проверка устройства не будет.
4. Если сообщения с кодом подтверждения имеют настолько массовый характер, что поступают каждый день в течение продолжительного периода, есть смысл задуматься о замене номера телефона.

Массовая рассылка кодов подтверждения не приятна, но и не страшна. Помните, что комбинация цифр используется для верификации. Если вы ее никому не сообщите, злоумышленник не сможет получить доступ к аккаунту или зарегистрировать на вас учетную запись.

�� Загляни в телеграм-канал Сундук Али-Бабы, где мы собрали лучшие товары с АлиЭкспресс

Впредь соблюдайте цифровую гигиену, тщательно проверяя каждый сайт, на котором указываете персональные данные. Всегда придумывайте сложные пароли и по возможности заведите отдельную SIM-карту для управления учетными записями.

Теги

• Безопасность Android
• Новичкам в Android

О кодах подтверждения

Банки и другие сервисы используют коды подтверждения для защиты от мошенников. Обычно код выглядит как число из 4–6 цифр, которое приходит по СМС или пуш-оповещением.

В этой заметке я расскажу об удобстве и безопасности разных вариантов.

Какие бывают коды

Дизайн кода подтверждения — классическая проблема, когда кажется, что безопасность конфликтует с удобством использования. Безопасники хотят сделать код как можно длиннее, чтобы злодей не смог его подобрать. А продуктовые ребята наоборот, хотят коды покороче, чтобы человеку было проще запомнить.

Я попросил участников чата «Интерфейсов без шелухи» прислать примеры кодов подтверждения от разных сервисов. Всего в выборку попало 30 сервисов, вот статистика:

• 45% сервисов используют коды из 6 цифр
• 41% используют 4 цифры
• 14% используют 5 цифр

Какой длины кода достаточно

Если у вас в компании есть безопасник — наверняка он ответит «шесть цифр и никак не меньше». 6 цифр — это 1 миллион комбинаций. Если дать злодею возможность беспрепятственно вводить коды каждую секунду, ему потребуется 11 дней, чтобы угадать.

Понятно, что беспрепятственно вводить коды никто не даст: сервисы ограничивают количество ошибочных попыток (а ещё время жизни кода и как часто можно генерить новые коды). Поэтому 6 цифр — это неоправданно много.

Код из 4 цифр даёт 10 тысяч комбинаций. Если разрешить 3 попытки ввода, шанс угадать составит 0,03%. Другими словами, злоумышленнику придётся попытать счастья с 3300 человек, прежде чем у него что-то получится. Не слишком интересный расклад для злодея ツ

Правда ли, что цифры в коде повторяются

Это довольно распространённая точка зрения. Хочется думать: родной банк так заботится о твоём удобстве, что генерит коды с повторяющимися цифрами — чтобы легче было запомнить:

В большинстве случаев это заблуждение. Чем длинее код, тем больше вероятность, что цифры в нём повторятся сами собой, без всяких усилий сервиса. Например, для кода из 4 цифр вероятность повторения хотя бы одной цифры — 50%. А для кода из 6 цифр — уже 85%.

Ради интереса я взял сервисы, по которым собрал больше всего данных, и проверил, какова доля кодов с повторами в цифрах. У большинства распределение получилось несмещённое, то есть специально они одинаковые цифры не генерят.

Единственное исключение — «Тиньков»: у него 65% кодов с повторами против ожидаемых 50%.

Что, если всегда генерить код с повторами

Допустим, наш супер-дружественный сервис решил генерить 4-значные коды, в которых хотя бы одна цифра повторяется. Это примерно 5000 комбинаций — всего в два раза меньше, чем на «обычном» 4-значном коде.

Шанс угадать такой код на 3 попытках — 0,06% или 1650 бесплодных злодейских заходов. Как по мне, вполне надёжно. Хотя ваш безопасник будет против, конечно ツ

• Никогда, никогда, никогда не делайте коды длиннее 6 цифр.
• 4-значный код — хороший баланс между удобством и безопасностью.
• Попробуйте генерить коды с повторами, пользователям понравится.

Подписывайтесь на канал, чтобы не пропустить новые заметки ��

Как безопасно генерировать код подтверждения на стороне сервера?

Здравствуйте. Пишу сайт, необходимо сделать при регистрации активацию по коду подтверждения, который должен приходить по почте. Как можно сделать, чтобы код подтверждения безопасно генерировался на сервере и отправлялся по почте?

Реализовать это не проблема, я не могу продумать как сделать, чтобы была безопасность.

• Вопрос задан более года назад
• 144 просмотра

1 комментарий

Простой 1 комментарий

Хитрый код: мошенники научились обходить СМС-подтверждение операций

Мошенники научились обходить двухфакторную аутентификацию (по коду из СМС) для подтверждения платежей в интернете. Это делается с помощью одновременного проведения фейковой операции на фишинговом сайте, стилизованном под оплату ОСАГО, и реального перевода денег, инициированного злоумышленником. О такой схеме «Известиям» рассказали в «Лаборатории Касперского», ее распространение подтвердили в других компаниях по кибербезопасности и в банках. Россияне уже привыкли, что нельзя называть код из СМС по телефону, но при вводе его на сайте проявляют меньшую бдительность.

Двухфакторный обман

Схема обмана начинается с того, что гражданину направляют сообщение с предложением продлить ОСАГО: в нем указаны данные об авто, в том числе госномер, а при переходе по ссылке демонстрируется сумма страховки и другая ссылка для оплаты, рассказал руководитель отдела развития методов фильтрации контента в «Лаборатории Касперского» Алексей Марченко. Он продолжил: после перехода по ссылке и ввода данных карты пользователю показывается страница с надписью «Формируется СМС-код», которая демонстрируется по таймеру около 30 секунд, а затем перебрасывает на форму ввода кода. В этот момент клиенту действительно поступает СМС от кредитной организации.

Фото: РИА Новости/Максим Богодвид

Ничего личного: как защититься от мошенников в соцсетях
Эксперты призвали максимально скрывать свои данные от посторонних

— Вероятнее всего, после того как пользователь указывает на ресурсе данные карты, злоумышленники инициируют не оплату, а запрос на списание денег с этой карты. На этом этапе у них есть всё необходимое для перевода, кроме проверочного кода. В этот момент пользователь находится на страничке ожидания «Формируется СМС». За это время к нему приходит сообщение. Пользователю кажется, что это СМС для оплаты, хотя на самом деле это СМС для подтверждения перевода денег, который инициировали злоумышленники, — пояснил Алексей Марченко.

Он заключил: когда пользователь вводит СМС-код на страничке, которая появилась после ожидания, злоумышленники завершают атаку, подтверждая перевод денег, который они инициировали на своей стороне. Это комбинация скама и фишинга, подчеркнул эксперт. Схема обмана, в которой сочетается фейковое предложение оплатить страховой полис, использование номера автомобиля человека, серия веб-страниц с ожиданием для получения сперва данных карты, а затем проверочного кода и другие, была зафиксирована недавно и встречается достаточно редко, уточнил Алексей Марченко. В «РЕСО-Гарантия» известно о пяти таких случаях в последнее время. Об этой схеме обмана знают в Росбанке, Газпромбанке и ВТБ, а также в компаниях Digital Security и Zecurion, которые специализируются на кибербезопасности. В Росбанке уточнили, что сейчас злоумышленники активно используют этот сценарий, например, создавая подложные сайты интернет-магазинов. Также способ обмана с обходом двухфакторной аутентификации применяется на сайтах объявлений, добавили в Digital Security. Услуга оплаты страховки через интернет популярна у автолюбителей, знает замглавы департамента защиты информации Алексей Плешков. Он добавил, что поскольку многие покупали автомобиль либо в конце календарного года, либо в самом его начале, переоформление полисов часто приходится на декабрь и январь — в этот период массово появляются и фишинговые сайты страховщиков.

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

На код вперед: на Госуслугах готовят обязательную двухфакторную авторизацию
Зачем Минцифры планирует усилить защиту пользователей

— Таким способом можно не только украсть деньги, но и войти на важные порталы. Но от подобных случаев, например, на «Госуслугах» есть дополнительные проверки. Если пользователь выполняет вход из нового места (определяется по IP и другим косвенным признакам), то потребуется ввод не только кода из СМС, но и других данных для аутентификации (например, номер какого-либо документа), — разъяснил замдиректора департамента анализа защищенности Digital Security Максим Прокопович. Накануне «Известия» сообщили, что на «Госуслугах» в 2022 году планируют ввести обязательную двухфакторную аутентификацию.

Проверка адреса

Россияне в большинстве своем уже научились выявлять телефонных мошенников и не называют им коды подтверждения операций, отметил руководитель аналитического центра Zecurion Владимир Ульянов. При этом, по его словам, ввод кода из СМС на подозрительном сайте несет такие же риски, как и передача его собеседнику. В то же время пользователи уверены, что применение двухфакторной аутентификации повышает безопасность операций. Эксперт также пояснил, что данные об авто, которые используются для повышения доверия, могут быть взяты из открытых источников или из утечек баз данных. По его словам, такую схему обмана вполне можно автоматизировать и поставить на поток.

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Несекретные материалы: продажа и ремонт смартфона грозят утечкой данных
Пользователи рискуют потерять личные файлы при передаче гаджета третьим лицам

— Чтобы избежать несанкционированных списаний, клиентам необходимо внимательно читать сообщения от банков с кодом подтверждения. В них, как правило, указываются назначение платежа, наименование получателя, сумма операции и другие реквизиты. Также нужно обращать внимание на адрес получателя на странице сайта, где вводится код подтверждения, и на саму страницу, — предупредили в банке «Открытие». Даже несмотря на то что злоумышленники находят способы обойти двухфакторную аутентификацию, ей все равно стоит доверять, уверены эксперты. Этот метод подтверждения легальности операции подразумевает, что пользователь отдает себе отчет в своих действиях и понимает, на каком сайте и с какой целью он вводит пароль и код, подчеркнул генеральный директор Infosecurity a Softline Company Николай Агринский. В ЦБ и Минцифры оперативно не ответили на запрос «Известий» о том, знают ли в регуляторах о фишинговой схеме, позволяющей обойти двухфакторную аутентификацию.