26 Февраля 2025 14:51 26 Фев 2025 14:51 |

Поделиться

Gmail откажется от двухфакторной аутентификации по SMS

Смена подхода к защите данных

Компания Google планирует отказаться от аутентификации в Gmail по SMS-сообщению и внедрит для этого QR-коды, пишет Forbes. Сотрудники ИТ-компании считают этот популярный метод входа в аккаунт недостаточно надежным.

Использование двухфакторной аутентификации с помощью SMS-кодов довольно распространено и давно предлагается Google для подтверждения личности при входе в аккаунт Gmail. По мнению разработчиков Google, в этом способе в 2025 г. есть проблемы с информационной безопасностью (ИБ), ИТ-специалисты они хотят это исправить.

Представитель Gmail Росс Рихендрфер (Ross Richendrfer) рассказал в комментарии Forbes, что целью ИТ-компании является уменьшение влияния безудержного глобального злоупотребления SMS-сообщениями. «Подобно тому, как мы хотим перенести пароли с помощью таких вещей, как ключи доступа, мы хотим отказаться от отправки SMS-сообщений для аутентификации. Если мошенник может легко заставить оператора завладеть чьим-то номером телефона, то сама ценность безопасности через SMS исчезает», — говорит он.

Двухфакторная аутентификация (2FA, two-factor authentication) — это наиболее часто используемый тип многофакторной аутентификации (MFA), требующий дополнительный (второй) фактор аутентификации к паролю (первый фактор). SMS 2FA — это устаревший метод двухфакторной аутентификации (2FA), который в качестве дополнительного режима использует отправку одноразового пароля (OTP) или другого секретного кода с помощью текстового сообщения.

26 февраля 2025 г. Google еще использует подтверждение через SMS-коды преимущественно с двумя разными целями: для безопасности и борьбы с нарушениями. Первый, как пояснил Росс Рихендрфер, заключается в том, чтобы убедиться, что ИТ-компания имеет дело с тем же пользователем, что и раньше, тогда как второй гарантирует, что мошенники не злоупотребляют услугами Google. В будущем вместо того, чтобы вводить номер и получать текст с кодом, который нужно ввести, Google будет предлагать QR-код, который нужно отсканировать с помощью приложения камеры на телефоне.

По данным Google, QR-коды для аутентификации могут иметь преимущества, как уменьшение риска фишинга и устранение зависимости от оператора мобильной связи для защиты от злоупотреблений. Пока у Google нет информации относительно фактической даты внедрения изменений для владельцев учетных записей Google и пользователей Gmail.

История создания QR-кода

QR — это двумерный штрихкод, который считывается устройствами обработки изображений. В переводе с английского эта аббревиатура означает «быстрый отклик». Главная особенность QR-кода в том, что он предоставляет мгновенный доступ к большому объему информации. Сами QR-коды напоминают штрих-коды, только вместо вертикальных полос состоят из маленьких квадратиков. Они используются все чаще и становятся все более популярными, поэтому многие смартфоны теперь выпускаются со встроенным сканером QR-кода.

Первую систему QR-кодов придумали в 1994 г. специалисты японской компании Denso Wave, дочернего предприятия Toyota. На производстве потребовался способ точно отслеживать выпускаемые автомобили и детали к ним. Для этого было решено разработать разновидность штрих-кода, с помощью которой можно было бы кодировать японские иероглифы, латинские буквы, цифры и ряд других символов.

Обычный штрих-код читается только в одном направлении — слева направо. Поэтому он может хранить сравнительно небольшой объем информации — как правило, это буквы и цифры. QR-код читается в двух направлениях (его даже называют двумерным штрих-кодом) — по горизонтали и по вертикали. Это позволяет хранить в нем больше данных.

Целью разработчиков было создать узнаваемый, сканируемый под любым углом формат. Делалось это для того, чтобы код было легко заметить, и не нужно было тратить время, выбирая правильное положение сканера. Так разработчики Denso Wave ои пришли к ныне всем известному квадратному коду, который используется. Разработка же первого QR-кода заняла больше года. Он мог вместить до 7 тыс. цифр и иероглифов кандзи и считывался в десять раз быстрее, чем обычный штрих-код.

Мошенничество через QR-коды

В конце 2024 г. эксперты компании Angara Security отмечают, что мошенники стали активно использовать QR-коды для кражи денег у граждан в России, и схемы становятся все более изощренными.

По данным Angara Security, значительно участились случаи подмены QR-кодов на самокатах кикшеринг-сервисов и замены кодов, предназначенных для оплаты заказов и чаевых, в ресторанах. Сравнявшись с мировыми тенденциями, на 47% выросло количество генераций QR-кодов по всему миру за последний год - восемь кодов в минуту. Россия же вошла в десятку стран с самой высокой активностью сканирования QR-кодов.

Мошенники выбирают эту стратегию благодаря ее простоте и отсутствию финансовых затрат. QR-коды можно создать с помощью доступных онлайн-ресурсов, что делает их привлекательными для аферистов. Более того, человеческий глаз не в состоянии всегда заметить подмену, и пользователи уверенно сканируют коды, полагаясь на их легитимность.

Хакеры же могут создавать новые, так и компрометировать существующие QR-коды. Срок действия большинства QR-кодов не ограничен, а URL-адреса могут быть динамическими. Это дает им возможность выкупить адреса легитимных акций и направить пользователей на фишинговые сайты. Более того, опасные коды можно встретить в общественных пространствах. Пользователи часто сканируют их, не задумываясь о последствиях, отметил аналитик Mobile Research Group Эльдар Муртазин.

Вредоносные QR-коды позволяют мошенникам получить доступ к учетной записи в мессенджере Telegram. Как отметил главный эксперт «Лаборатории Касперского» Сергей Голованов, если пользователь отсканирует такой код, у него откроется мессенджер и появится сообщение о подключении постороннего устройства. После этого хакер становятся доступны все контакты и переписка, кроме секретных чатов.

В начале 2025 г. член комитета Госдумы по информационной политике Антон Немкин назвал мошенничество через QR-код «актуальной угрозой». Он напомнил, что преступники способны отправить поддельные QR-коды по электронной почте или через мессенджеры и предложить перейти по ссылке, чтобы получить «выигрыш» или «скидку». Отсканировав такой код, пользователь окажется на фишинговом сайте, где могут украсть его данные.

Антон Денисенко

Поделиться

Подписаться на новости Короткая ссылка