Двухфакторная аутентификация: почему 2FA не спасает от мошенников

Двухфакторная аутентификация, которая долгое время считалась надёжным способом защиты аккаунтов, всё чаще оказывается уязвимой перед современными киберугрозами. Глава направления "Киберразведка" компании "Бастион" Константин Ларин рассказал, что даже наличие 2FA не гарантирует безопасность, поскольку россияне часто сами добровольно передают мошенникам свои данные.

По словам эксперта, менее половины российских пользователей применяют двухфакторную аутентификацию для защиты аккаунтов. В корпоративной среде этот показатель немного выше — около 70%, однако в целом цифровая гигиена остаётся на низком уровне. Большинство предпочитает самые простые методы 2FA — коды по SMS, одноразовые пароли или подтверждения через электронную почту. Именно эти каналы активно используют злоумышленники.

Почему 2FA перестаёт работать: человеческий фактор и фишинг

Константин Ларин подчеркнул, что основным способом обхода двухфакторной аутентификации остаётся фишинг. Пользователю приходит сообщение с вредоносной ссылкой, и, перейдя по ней, он оказывается на поддельной странице, которая внешне полностью копирует легитимный сервис. Там жертва вводит свои логин, пароль и даже код из SMS, передавая мошенникам все данные лично.

Эксперт отметил, что ключевая причина успеха мошенников — невнимательность и излишняя доверчивость пользователей. Они не проверяют источники сообщений, вводят коды на сомнительных сайтах и позволяют приложениям получать доступ к SMS, не осознавая возможных рисков. В итоге механизм 2FA превращается в формальность, а его наличие уже не служит гарантией безопасности.

Кроме того, многие россияне по-прежнему не используют двухфакторную аутентификацию по разным причинам: кто-то считает её излишней, кто-то не знает о её существовании, а кто-то просто не понимает, как она работает. Привычка использовать одинаковые пароли на нескольких сервисах и недооценка рисков кражи данных остаются распространёнными, пока не происходит реальный инцидент.