SMS-коды долгое время считались простым и надёжным способом защиты аккаунтов. Банки, соцсети и онлайн-сервисы массово использовали SMS как второй фактор аутентификации. Однако в 2026 году стало очевидно: SMS-коды больше не обеспечивают реальной безопасности и во многих случаях создают лишь иллюзию защиты.
Почему SMS считались безопасными
Идея SMS-аутентификации строилась на простом предположении:
- Телефон всегда находится у владельца.
- Номер сложно перехватить удалённо.
- Одноразовый код действует ограниченное время.
На практике все эти предположения давно не соответствуют реальности.
SIM-swap — главная угроза SMS-аутентификации
SIM-swap (подмена SIM-карты) — одна из самых распространённых атак последних лет.
Злоумышленник:
- Получает персональные данные жертвы.
- Обращается к оператору связи.
- Перевыпускает SIM-карту на своё имя.
После этого все SMS, включая коды подтверждения, начинают приходить атакующему.
Почему SIM-swap работает
- Операторы связи часто используют слабую идентификацию.
- Человеческий фактор в службах поддержки.
- Утечки персональных данных упрощают атаку.
В результате злоумышленник получает полный контроль над аккаунтами пользователя.
Уязвимости мобильной инфраструктуры (SS7)
Мобильные сети используют устаревшие сигнальные протоколы, такие как SS7, которые изначально не проектировались с учётом современных угроз.
Это позволяет:
- Перехватывать SMS без доступа к телефону.
- Отслеживать местоположение абонента.
- Подменять сообщения.
Доступ к таким атакам есть не только у государств, но и у коммерческих структур и киберпреступников.
Перехват SMS вредоносными приложениями
На смартфонах SMS могут быть скомпрометированы через приложения:
- Вредоносные или шпионские программы.
- Приложения с избыточными разрешениями.
- SDK, имеющие доступ к сообщениям.
Особенно уязвимы Android-устройства, где пользователи часто соглашаются на доступ к SMS без понимания последствий.
Социальная инженерия и фишинг
SMS-коды легко становятся частью атак социальной инженерии:
- Пользователя убеждают продиктовать код.
- Код вводится на фишинговом сайте.
- Атака происходит в реальном времени.
Одноразовость кода не спасает, если пользователь сам передаёт его злоумышленнику.
Зависимость от номера телефона
Номер телефона давно перестал быть надёжным идентификатором:
- Номера продаются и перепродаются.
- Операторы повторно используют старые номера.
- Телефон легко потерять или временно отключить.
При этом многие сервисы жёстко привязывают доступ именно к номеру, создавая дополнительный риск блокировки или захвата аккаунта.
Почему банки и сервисы до сих пор используют SMS
Несмотря на риски, SMS всё ещё популярны, потому что:
- Они привычны пользователям.
- Не требуют установки приложений.
- Работают на любых телефонах.
Но это компромисс между удобством и безопасностью — и безопасность в нём проигрывает.
Чем заменить SMS-коды
Более надёжные альтернативы:
- Приложения-аутентификаторы (TOTP).
- Аппаратные ключи (U2F / FIDO2).
- Push-аутентификация с криптографической подписью.
- Passkeys и беспарольный вход.
Эти методы не зависят от оператора связи и значительно сложнее для атак.
Когда SMS допустимы
SMS могут использоваться только как:
- Временное решение.
- Резервный метод восстановления.
Но не как основной фактор защиты для критически важных аккаунтов.
Заключение
В 2026 году SMS-коды — это устаревшая технология, не соответствующая современным угрозам. SIM-swap, уязвимости мобильных сетей, вредоносные приложения и социальная инженерия делают SMS ненадёжным способом защиты.
Использование SMS для аутентификации — это вопрос не удобства, а риска. Для защиты аккаунтов, финансов и личных данных необходимо переходить на современные и криптографически надёжные методы аутентификации.