После этого, если кто-то с другого компьютера или устройства попытается сменить пароль к вашей учетной записи, вам на телефон придет текстовое сообщение. Любое изменение в настройках учетной записи будет сохранено только после ввода правильного кода подтверждения.
Но и тут есть слабая сторона. Сотрудники компании Symantec выяснили, что при отправке SMS-сообщения для подтверждения личности человек, которому известен ваш номер мобильного телефона, прибегнув к социальной инженерии, может перехватить проверочный код и сбросить пароль, стоит вам лишь утратить бдительность.>23
Представим, что я хочу взломать вашу почту и не знаю пароль, но знаю номер сотового телефона, поскольку эту информацию легко найти через Google. Я могу перейти на страницу восстановления пароля и запросить сброс пароля. Поскольку у вас настроена двухфакторная аутентификация, вы получите SMS-сообщение с кодом. Пока все в порядке, правда? Не спешите.
Недавно произошел инцидент с политическим активистом Диреем Маккиссоном, телефон которого был взломан. Эта атака стала ярким примером того, как злоумышленники могут обманом получить у оператора сотовой связи сменную SIM-карту.>24 Другими словами, мошенник может завладеть вашим номером телефона и получать приходящие вам SMS-сообщения — например, SMS-код от сервиса Google для сброса пароля от принадлежащего Маккиссону аккаунта Gmail, на котором была настроена двухфакторная аутентификация. Это почти то же самое, что обманом заставить кого-то прочитать вам вслух SMS-сообщение с новым паролем. Хотя и такую возможность (социальную инженерию) никто не отменял.
Поскольку я не вижу код подтверждения, который сервис электронной почты отправил вам по телефону, мне придется притвориться кем-то другим, чтобы вы сами мне его предоставили. Всего за несколько секунд до того, как вы получите настоящее сообщение, например от сервиса Google, я, будучи хакером, могу с одноразового виртуального номера отправить ложное SMS-сообщение со следующим текстом:
«Google обнаружил подозрительную активность в вашем аккаунте. Для прекращения нежелательных действий в аккаунте, пожалуйста, в ответ на это сообщение отправьте проверочный код, высланный на ваше мобильное устройство».
Вы увидите, что да, действительно, вам только что пришло SMS-сообщение от Google с проверочным кодом, и, если вы не очень осторожны, вы можете просто отправить его мне в ответ на фальшивое сообщение. После этого у меня будет не более шестидесяти секунд на то, чтобы ввести код подтверждения на странице сброса пароля. Далее я смогу сменить пароль и захватить вашу почту. Или любую другую почту.