SMS-код — лучше, чем ничего, но слабее, чем аутентификатор и passkeys. Разберём, какие атаки реальны для всех, а какие — для тех, на кого целятся намеренно.
Как уводят доступ через SMS
🔹 Выманивают код — грозит всем Звонок: «Это банк, продиктуйте код» или «Мама, срочно скинь». Поддельный сайт по ссылке из SMS/мессенджера: выглядит как настоящий, но код уходит мошенникам. Не ломают систему — ломают человека. Это самый частый сценарий.
🔹 Получают доступ к телефону — общий для всех риск Вирус читает SMS и уведомления или подменяет экран ввода. Или телефон оставлен разблокированным — за минуту можно прочитать код и подтвердить вход. Риск выше, если ставишь сомнительные приложения, переходишь по подозрительным ссылкам, оставляешь телефон без присмотра.
🔹 Перевыпуск SIM — чаще целевая атака Мошенник «забирает» твой номер (твоя SIM перестаёт работать, его — начинает) через салон связи или поддержку оператора. Это не массовка — нужны усилия, иногда деньги или связи. Применяют против тех, у кого есть что взять.
🔹 Перехват SMS через сеть оператора — атакуют VIP персон Нужен доступ к инфраструктуре оператора. Дорогой инструмент для очень целевых атак. Против обычного человека — экономически бессмысленно. При этом для крупных руководителей - это реальная угроза, особенно при путешествиях за границу.
Когда риск выше
Выманивание кода грозит всем — тут защита одна: никому не говорить код и не вводить его на незнакомых сайтах.
Перевыпуск SIM и перехват через сеть редки, но становятся реальнее, когда к номеру привязаны: — банк, карты, инвестиции, крипта — маркетплейсы, доставка, такси — рабочие доступы к данным или сервисам — публичность (канал, блог, медийность) — всё завязано на один номер и одну почту
Правило простое: чем больше у вас денег, важных доступов и публичности — тем выше шанс, что будут «дожимать» всерьёз.
📱 План защиты
1️⃣ Замени SMS на аутентификатор Любой известный — например, Google Authenticator, Microsoft Authenticator, Яндекс Ключ. SMS оставь только там, где альтернативы нет.
2️⃣ Код = тайна. Всегда. Никто не должен «уточнять код». Если ты сам не начинал вход и тебя просят назвать код — это развод. Не вводи код по ссылке — только в приложении или на сайте, куда пришёл сам.
3️⃣ Защити SIM от перевыпуска На Госуслугах включи запрет на оформление новых SIM-карт (раздел «Сим-карты» → «Запрет на оформление договоров связи»). Снять можно только через МФЦ — это защита от мошенников. Дополнительно: у оператора поставь кодовое слово на перевыпуск и перенос номера.
4️⃣ Включи уведомления Вход, смена пароля, смена контактов, отключение 2FA — уведомления на всё.
5️⃣ Почта — главный вход Отдельный сложный пароль + 2FA. Проверь пересылки, резервные адреса, активные сессии.
6️⃣ Максимум — passkeys Вход без пароля: подтверждение на устройстве лицом, пальцем или PIN. Самый устойчивый к фишингу вариант из массово доступных. Проверь в настройках безопасности своих сервисов.
⚡ С чего начать? Сделай пункт 4 прямо сейчас. Пункт 2 — держи как правило. Пункт 3 — сегодня.
Вывод
SMS-подтверждение — хорошо, но и не идеально.
Минимум: не отдавай коды + уведомления + защита SIM. Лучше: аутентификатор. Идеально: passkeys.
Cохрани и перешли близким — в праздники особенно актуально.
А вы уже перешли с SMS на аутентификатор? Напишите в комментах 👇