2FA (двухфакторная аутентификация) считается золотым стандартом безопасности, но и её можно обойти. Разберём реальные методы атак и способы защиты.
1. Фишинг + поддельные 2FA-формы
Как это работает?
Хакеры создают копию сайта (например, Госуслуг, Сбера, ВК, Однаклассники) и просят ввести не только логин/пароль, но и 2FA-код. Как только жертва вводит код, злоумышленник использует его для входа в реальный аккаунт.
🔹 Пример:
- Вы получаете письмо «Подозрительный вход в ваш Яндекс.Почта» → переходите на fake-yandex.ru → вводите код из SMS/TOTP → хакер получает доступ.
Как защититься?
✅ Проверяйте URL (официальные сайты — только yandex.ru, sberbank.ru и т. д.)
✅ Не вводите 2FA-код на сайтах, куда перешли по ссылке
✅ Используйте аппаратные ключи (YubiKey, JaCarta) — они не сработают на фишинговом сайте
2. SIM-свопинг (перехват SMS)
Как это работает?
Мошенники уговаривают оператора (МТС, Билайн, Мегафон) перевыпустить SIM-карту на свой номер. После этого они получают все SMS, включая коды подтверждения.
🔹 Пример:
- Злоумышленники звонили в поддержку Tele2, представлялись владельцем номера и просили «восстановить утерянную SIM».
Как защититься?
✅ Откажитесь от SMS-2FA в пользу TOTP (Aegis, Raivo OTP)
✅ Подключите «запрет на перенос номера» у оператора
✅ Используйте виртуальные номера (например, в Сбербанк Онлайн) для банковских кодов
3. MITM-атака (перехват кода в реальном времени)
Как это работает?
Хакер встраивается в соединение (через публичный Wi-Fi или вредоносное ПО) и перехватывает 2FA-код, пока жертва его вводит.
🔹 Пример:
- Вы заходите в интернет-банк в кафе → злоумышленник перехватывает сессию → получает доступ к вашему аккаунту.
Как защититься?
✅ Не используйте публичные Wi-Fi для входа в банки/почту
✅ Включайте VPN (например, от Ростелекома или другой доверенный)
✅ Применяйте U2F-ключи (YubiKey, JaCarta) — они не передают код в открытом виде
4. Взлом резервных кодов или TOTP-базы
Как это работает?
Если злоумышленник получает доступ к файлу с резервными кодами 2FA или базе TOTP (например, через взлом облака), он может войти в аккаунт без пароля.
🔹 Пример:
- Вы храните резервные коды 2FA в Notes на iCloud → хакер взламывает Apple ID → получает доступ ко всем вашим аккаунтам.
Как защититься?
✅ Не храните резервные коды в облаке (лучше распечатать и положить в сейф)
✅ Используйте оффлайн-аутентификаторы (Aegis, KeePassXC)
✅ Шифруйте резервные копии TOTP
5. Социальная инженерия (подделка поддержки)
Как это работает?
Мошенники звонят/пишут, представляясь службой безопасности банка или соцсети, и просят передать 2FA-код «для проверки».
🔹 Пример:
- «Здравствуйте, это Сбербанк. На ваш аккаунт совершена подозрительная операция. Назовите код из SMS для отмены».
Как защититься?
✅ Никогда не называйте 2FA-код по телефону/в чате
✅ Перезванивайте в официальную поддержку (по номеру с сайта)
✅ Включите уведомления о входах (чтобы видеть подозрительную активность)
Вывод: как сделать 2FA по-настоящему безопасным?
- Откажитесь от SMS → используйте TOTP (Aegis, Raivo OTP) или аппаратные ключи .
- Не храните резервные коды в облаке → только бумага или зашифрованный файл.
- Не вводите 2FA-код на подозрительных сайтах → проверяйте URL.
- Включите защиту от SIM-свопинга у оператора.
- Никому не сообщайте код — даже «сотруднику банка».