В последнее время появляется очень много сообщений о том, что мошенники тем или иным способом (и зачастую успешно) получают доступ к аккаунтам на портале «Госуслуги», выманивая у жертвы код из SMS.
Между тем, решить эту проблему можно довольно просто.
Вся схема держится на том, что в качестве логина используется тот же номер телефона, на который и приходит SMS. Этот код злоумышленники и выманивают у жертвы.
Такой метод доступа, безусловно, удобен для пользователей, так как свой номер телефона помнят все.
Однако если отказаться от использования номеров телефонов в качестве логинов, заменив их на случайные идентификаторы (на адреса электронной почты переходить не стоит — их тоже легко получить), то работа по данной схеме резко усложнится. Мошенникам нужно будет не просто выманить SMS-код, но и сначала узнать сам логин, который не будет совпадать с номером
телефона.
Можно рассмотреть компромиссный вариант, когда к номеру телефона в качестве логина добавляется несколько случайных цифр — по аналогии с CVC-кодом на кредитной карте.
Три дополнительные цифры достаточно просто запомнить. А перебор (брутфорс) эффективно блокируется уже отработанными процедурами: установкой минимального интервала между попытками ввода с его увеличением после нескольких неудач.
Конечно, система не должна сообщать, введен ли правильный "CVC для госуслуг" или нет. Просто должно появляться поле для ввода кода из SMS.
P.S.
Я далек от мысли, что это на 100% решит проблему. Сто процентной защиты
не существует в принципе. Есть лишь параметры времени и денег, которые
требуются для преодоления той или иной системы безопасности.