Руководитель направления «Киберразведка» компании «Бастион» Константин Ларин предупредил, что несмотря на свою эффективность, двухфакторная аутентификация (2FA) не является надёжным решением для защиты от современных киберугроз, в частности от продвинутых фишинговых атак.
Эксперт отметил, что россияне по-прежнему уязвимы: только 40-50% используют 2FA для защиты своих аккаунтов. Кроме того, большинство пользователей выбирают базовые методы 2FA, такие как SMS-коды, одноразовые пароли или подтверждения по электронной почте, что делает их не только уязвимыми для фишинга, но и ключевой целью злоумышленников. Ларин подчеркнул, что современные, всё более изощрённые, фишинговые атаки эффективно обходят 2FA, заставляя жертв вводить свои учётные данные и SMS-коды на поддельных страницах, которые имитируют легитимные сервисы. Обычно сообщения от мошенников приходят во всех популярных мессенджерах.
Ларин предположил, что пользователи, не использующие 2FA, обычно не знают о существовании такого механизма, поэтому ещё более беззащитны. И потенциальные риски кражи данных, как правило, воспринимаются как нечто абстрактное, но до тех пор, пока с человеком не произойдёт реальный инцидент.
«В большинстве случаев обход двухфакторной аутентификации происходит из-за человеческой невнимательности и доверчивости, — объяснил Ларин. — Пользователи сами вводят коды на поддельных страницах, доверяют сообщениям от мошенников или разрешают доступ к SMS в приложениях, не проверяя их права. Именно так защитный механизм превращается в формальность, а его наличие перестаёт быть гарантией безопасности».