Пароль вы сменили три месяца назад. Двухфакторная аутентификация включена. Телефон при вас.
А утром заходите — и аккаунта нет. Или он есть, но вас из него выкинули. Или деньги ушли. И никаких предупреждений не было.
Потому что человек, который это сделал, получил доступ ещё в феврале. И просто ждал удобного момента.
Инструмент называется резервные коды. О нём не пишут в инструкциях по безопасности. Большинство людей вообще не знают, что они у них есть.
Что такое резервные коды и зачем они нужны
Когда вы включаете двухфакторную аутентификацию на любом сервисе — Госуслугах, почте, банковском приложении, соцсети — система автоматически генерирует резервные коды.
Это набор одноразовых паролей. Обычно от пяти до десяти штук. Каждый используется один раз.
Логика простая: что делать, если телефон сломался, потерялся или вы оказались без сети? Ввести резервный код — и войти без СМС и без приложения-аутентификатора.
Звучит разумно. На практике это означает вот что: тот, у кого есть эти коды, может войти в ваш аккаунт с любого устройства в любой точке мира. Ему не нужен ваш телефон. Ему не нужно перехватывать СМС. Ему вообще ничего не нужно — только код.
Как мошенники их получают
Схема первая — фишинг. Вам приходит письмо: ваш аккаунт заблокирован за нарушение авторских прав, нужно пройти проверку. Ссылка ведёт на точную копию страницы сервиса. Вы вводите логин, пароль — и в следующем поле система «для подтверждения личности» просит ввести резервный код.
Именно так в 2023 году была зафиксирована массовая кампания против пользователей одной крупной западной соцсети. Исследователи компании Trustwave описали схему: поддельное письмо от имени службы поддержки, две фишинговые страницы, финальный запрос — восьмизначный резервный код. После его ввода злоумышленник получал полный доступ к аккаунту, защищённому двухфакторной аутентификацией.
Схема вторая — утечка данных. Вы когда-то сохранили коды в заметках на телефоне, в облаке, в скриншоте в галерее. Или на почту пришло письмо с кодами при настройке — и оно там лежит. Если почту взломали — взломали и доступ к кодам.
Схема третья — вредоносное приложение. Программа получает доступ к файлам и фотографиям. Находит скриншот с кодами. Отправляет владельцу.
Почему это опаснее обычного взлома
Обычный взлом — это событие. Вам приходит уведомление о входе с нового устройства. Вы видите чужой город в истории сессий. Банк звонит с подозрительной транзакцией.
Резервный код не оставляет следов.
Войти по резервному коду — это легитимное действие с точки зрения любой системы. Никаких тревожных сигналов. Никаких уведомлений. Сервис считает, что это вы восстанавливаете доступ со своего нового устройства.
Мошенник может получить код сегодня — и не использовать его месяц. Два месяца. Ждать, пока на счёт придут деньги, пока вы расслабитесь, пока сменится сезон.
Вы за это время сто раз поменяете пароль. Переустановите приложение. Почувствуете себя в безопасности. Код всё равно будет работать — пока вы его не отзовёте. А вы не знаете, что его нужно отзывать.
Как это выглядит в реальности
Один из типичных сценариев: человек получает фишинговое письмо, проходит «проверку», вводит резервный код. Думает, что это была проверка безопасности. Забывает об этом.
Через несколько недель — пропажа денег с карты, привязанной к аккаунту. Или рассылка по всем контактам. Или аккаунт просто исчезает.
Восстановить украденный аккаунт после такого захвата крайне сложно. Мошенник успел сменить резервную почту, номер телефона, сгенерировать новые коды. Служба поддержки смотрит историю входов — и видит только легитимные действия.
Где хранятся ваши резервные коды прямо сейчас
Вот вопрос, который большинство людей не могут на него ответить.
Когда вы настраивали двухфакторную аутентификацию, система предложила сохранить коды. Вы, скорее всего, сделали скриншот или скопировали в заметки. Или нажали «распечатать» и не распечатали. Или просто закрыли страницу.
Зайдите в настройки безопасности любого важного аккаунта прямо сейчас. Найдите раздел с резервными кодами. Посмотрите, сколько кодов использовано. Если там написано «использовано 1 из 10» — и вы этого не делали, значит, кто-то уже воспользовался вашим кодом.
Что делать
Первое. Зайдите в настройки безопасности на Госуслугах, в почте, в банковском приложении, в соцсетях. Найдите раздел «Резервные коды» или «Коды восстановления».
Второе. Отзовите старые коды и сгенерируйте новые. Это одна кнопка. Все старые коды после этого перестают работать — даже если кто-то их уже получил.
Третье. Новые коды распечатайте или запишите от руки. Храните отдельно от телефона. Не в галерее, не в облаке, не в заметках на том же устройстве.
Четвёртое. Никогда не вводите резервный код на сайте, на который перешли по ссылке из письма или сообщения. Сервисы никогда не запрашивают резервные коды для «проверки личности». Это всегда фишинг.
Пятое. Проверьте список доверенных устройств в настройках аккаунта. Если там есть чужой телефон или компьютер — удалите его немедленно.
Знали, что у вас есть резервные коды? Когда последний раз проверяли список доверенных устройств? Напишите в комментариях.