SMS считается далеко не самой безопасной формой двухфакторной аутентификации, и недавний случай лишний раз это доказывает. Разработчик приложения Action Launcher Крис Лейси (Chris Lacy) написал в Twitter, что в его проверочном коде от Google для подтверждения двухфакторной аутентификации оказалась реклама VPN-сервиса. В полученном SMS-сообщении, помимо кода, была указана короткая ссылка, и, судя по всему, за это ответственен один из австралийских сотовых операторов.
I just received a two factor authentication SMS from Google that included an ad. Google's own Messages SMS app flagged it as spam.
What a shameful money grab. pic.twitter.com/NeStIndR6q
— Chris Lacy (@chrismlacy) June 29, 2021
Можно было предположить, что это просто очередная попытка фишинга, но проверочный код оказался действительным, а приложение «Сообщения» пометило входящее SMS как спам. Лишние пробелы в тексте указывают на то, что Google вряд ли позволил бы себе вставлять рекламу в такие важные уведомления. Ресурсу 9to5google не удалось повторить эксперимент с получением 2FA-кода с рекламой в SMS-сообщении. Возможно, здесь используется таргетинг, что делает ситуацию ещё более подозрительной. На данный момент Google расследует инцидент и ищет ответственного оператора связи.
Сомнительная аргументация