Знакомо? Звонок из банка, голос вежливый, проблема срочная. А через десять минут вы диктуете код из SMS и теряете доступ к своему же аккаунту. Я видел эту схему десятки раз, и срабатывает она всегда по одной причине: люди верят, что SMS это защита.
На самом деле код из сообщения давно перестал быть надёжным вторым фактором. Его перехватывают, перевыпускают, выманивают по телефону. И всё это без хакерских навыков, без даркнета, без сложного софта. Я разберу, почему так вышло, и покажу, чем заменить SMS уже сегодня.
Зачем вообще нужен второй фактор
Пароль это один ключ. Если его украли, аккаунт открыт. Двухфакторная аутентификация добавляет второй замок: даже зная пароль, злоумышленник не зайдёт без второго подтверждения.
Второй фактор может быть разным. Код из SMS, push-уведомление в приложении, одноразовый код из генератора, отпечаток пальца, физический ключ. Идея одна: подтвердить, что вход делает именно владелец, а не тот, кто подсмотрел пароль.
Я много раз сталкивался с ситуацией, когда люди ставили двухфакторку формально. Включили SMS и забыли. А потом удивлялись, как мошенники зашли в банк, в почту, в Госуслуги. Главное здесь: не любой второй фактор защищает по-настоящему. Есть надёжные варианты, а есть SMS.
Почему SMS считается защитой
Потому что так привыкли. Банки внедрили коды в сообщениях ещё в начале 2010-х, и схема прижилась. Это удобно: телефон есть у всех, приложение ставить не надо, разбираться с настройками тоже.
Но удобство и безопасность редко идут рядом. То, что работало десять лет назад, в 2026 году уже не защищает. Мошенники научились обходить SMS-коды как минимум пятью способами. И ни один из них не требует серьёзной подготовки.
Подмена SIM-карты: классика, которая работает до сих пор
Это классика. Мошенник приходит в салон оператора с поддельной доверенностью или просто с убедительной историей. Просит перевыпустить SIM на ваш номер. Сотрудник, особенно в небольшом городе, может не проверить документы как следует.
Через час старая карта блокируется, новая активируется у злоумышленника. Все SMS, включая коды от банков и Госуслуг, теперь приходят ему. Я знаю случай, когда у человека за одну ночь увели три миллиона рублей именно так. Полиция возбудила дело, но деньги уже ушли через цепочку дропов.
Защититься от такой схемы сложно. Операторы постепенно ужесточают процедуры, но дыры остаются. И пока вы пользуетесь SMS как вторым фактором, вы зависите от того, насколько внимателен конкретный сотрудник салона связи.
Уязвимости протокола SS7: угроза из ниоткуда
Старый телекоммуникационный протокол, на котором до сих пор работают мобильные сети, имеет дыры. Через них можно перенаправить SMS на другой номер, не имея физического доступа к SIM-карте.
Звучит как выдумка? На деле в даркнете давно продают доступ к таким атакам. Цена вопроса несколько сотен долларов. Атака не оставляет следов в телефоне жертвы: вы не увидите, что код ушёл кому-то ещё.
Конечно, обычного пользователя редко атакуют через SS7. Это сложнее, чем выманить код по телефону. Но за крупными суммами или ценным аккаунтом так охотятся вполне активно.
Звонок «из банка»: почему мы до сих пор ведёмся
Самый простой и самый рабочий способ. Звонок от службы безопасности банка, от налоговой, от Госуслуг. Голос уверенный, тон деловой. Просят назвать код для подтверждения, для отмены подозрительной операции, для защиты аккаунта.
И ведь люди называют. Не потому что глупые, а потому что давление работает. Я сам однажды в стрессовой ситуации чуть не продиктовал код, и уже потянулся к телефону, но успел остановиться: банк никогда не просит такого.
Здесь SMS играет против вас вдвойне. Код легко произнести, легко скопировать, легко передать. Push-уведомление в приложении банка так просто не передашь: оно требует подтверждения внутри приложения, а не голосом.
Фишинговый сайт: когда ваш код уходит в реальном времени
Вы заходите на сайт банка по ссылке из письма. Внешне всё идеально: логотип, цвета, шрифты. Вводите логин, пароль, потом приходит SMS с кодом, вы его вводите. И код, и пароль уходят мошеннику в реальном времени. Он тут же заходит в настоящий банк и переводит деньги.
Такая схема называется AiTM, атака посередине. Против SMS-кодов она работает идеально, потому что код это просто текст, который можно ввести куда угодно. Аппаратные ключи и приложения-аутентификаторы привязаны к домену, и на поддельном сайте просто не сработают.
Зловред на телефоне: когда код читают раньше вас
Установили приложение из непонятного источника? Дали ему права на чтение SMS? Поздравляю, теперь все коды видит злоумышленник. На Android такие зловреды попадаются на каждом шагу, особенно в виде поддельных приложений банков, доставки, госуслуг.
Я протестировал несколько таких приложений в изолированной среде. Они умеют не только читать сообщения, но и скрывать их от пользователя: код приходит, его перехватывает зловред, а до вас уведомление просто не доходит. Вы даже не узнаете, что кто-то воспользовался кодом.
Чем заменить SMS: рабочие варианты
Хорошая новость: альтернатив много, и большинство из них бесплатные. Главное здесь, выбрать вариант, который вы действительно будете использовать. Если включите сложную схему и забросите через неделю, толку не будет.
Приложения-аутентификаторы. Google Authenticator, Microsoft Authenticator, Яндекс Ключ, Aegis для Android. Принцип простой: приложение генерирует одноразовый код каждые 30 секунд. Код вычисляется по секретному ключу, который хранится только в приложении. Перехватить его через мобильную сеть невозможно: он никуда не передаётся.
Я пользуюсь Aegis уже три года. Открытый код, шифрование базы, экспорт резервной копии. Если потеряю телефон, восстановлю всё за пять минут на новом устройстве. Главное не забыть сделать бэкап заранее.
Push-уведомления в приложении сервиса. Именно так работают банки в фирменных приложениях. Вы входите на сайт, приложение присылает push, вы подтверждаете в приложении. Код никуда не передаётся, перехватить нечего.
Важный нюанс: такое подтверждение работает, только если приложение настоящее, скачано из официального магазина и обновляется без задержек. Поддельное приложение из стороннего источника может имитировать процесс и утащить всё что нужно.
Аппаратные ключи. YubiKey, Titan Security Key, отечественные аналоги. Это физический брелок размером с USB-флешку. Втыкаете в порт или прикладываете к телефону через NFC, нажимаете кнопку, вход подтверждён.
Самый надёжный вариант на сегодня. Ключ нельзя перехватить, нельзя подделать, нельзя скопировать удалённо. Минус один: его можно физически потерять, поэтому покупают сразу два, один основной, один резервный.
Я перешёл на ключи для важных аккаунтов после того, как одного моего знакомого взломали через SIM-своп. С тех пор сплю спокойно, хотя на настройку всего сервиса ушло полдня.
Биометрия. Отпечаток, лицо, голос. Работает быстро, но имеет свои особенности. Биометрию нельзя поменять, как пароль: если шаблоны утекут, новые пальцы вам не выдадут. Поэтому биометрия хороша как дополнение, но не как единственный фактор.
Сравнение методов: что выбрать под задачу
Что делать прямо сейчас: чек-лист
Не пытайтесь переделать всё за один вечер. Сначала берите самые важные аккаунты, остальное потом.
- Откройте настройки безопасности основной почты. Включите двухфакторку через приложение-аутентификатор. Сохраните резервные коды в надёжном месте, не в той же почте.
- Зайдите в Госуслуги. Проверьте, что включена двухфакторная аутентификация. Там, где есть выбор, замените SMS на код из приложения.
- В банковском приложении убедитесь, что вход и операции подтверждаются именно через приложение, а не через SMS на отдельный номер. У большинства банков это уже настроено по умолчанию.
- Соцсети, мессенджеры, рабочие сервисы перенесите на аутентификатор. У Telegram, ВКонтакте, рабочих кабинетов это занимает по две минуты на сервис.
- Для самых критичных аккаунтов, где хранятся деньги или чувствительная информация, рассмотрите аппаратный ключ. Это разовая трата 3000–5000 рублей и спокойствие на годы.
Главное, что нужно помнить
Двухфакторка не магия. Она не спасёт, если вы сами назовёте код мошеннику по телефону. Никакая технология не защитит от того, кто доверяет голосу в трубке больше, чем здравому смыслу.
Запомните простое правило. Настоящий банк, настоящая служба поддержки, настоящие Госуслуги никогда не попросят назвать код подтверждения. Никогда. Если звонящий просит код, это мошенник, точка.
И ещё. SMS как второй фактор лучше, чем ничего. Если выбора нет, оставляйте SMS. Но если можно переключиться на приложение или ключ, делайте это сегодня. Через неделю забудете, через месяц станет поздно.
Я начал переводить свои аккаунты на нормальную двухфакторку после того, как у близкого человека увели деньги через SIM-своп. С тех пор прошло четыре года, и ни одной попытки взлома, даже неудачной, у меня не было. Совпадение? Не думаю.