Разбор · июль 2026

Одноразовые коды всё чаще приходят сообщением в мессенджер, а не привычной эсэмэской. Разбираем, как устроена доставка, почему сервисы уходят от СМС, что подход даёт пользователю и какие риски он с собой приносит.

📅 Актуально · июль 2026 📖 ~9 мин чтения 🔄 Источники: iXBT, РИА Новости, Ведомости
Что изменилось

Код подтверждения переехал
из СМС в мессенджер

Ещё недавно одноразовый код был синонимом эсэмэски. Сейчас часть сервисов — включая портал госуслуг и отдельные банки — доставляет коды сообщением в MAX. Пользователь замечает это по мелочи: вход в приложение идёт как обычно, но шесть цифр приходят не в стандартный ящик сообщений, а в мессенджер, где лежит вся остальная переписка.

За переменой стоит не единичное решение, а совпадение нескольких процессов: аудитория мессенджера выросла до масштаба, при котором его можно считать массовым каналом, а СМС как технология давно устарела и с точки зрения стоимости, и с точки зрения защищённости. Ниже — как это работает и что означает на практике.

📱
120 млн
Установок мессенджера
👥
85 млн
Пользователей ежедневно
💬
1,5 млрд
Сообщений в сутки
🏛️
Коды
Госуслуги — доставка вместо СМС

Ключевая оговорка, о которой стоит помнить при любых разговорах на эту тему: ФСБ не разрешила полноценное подключение мессенджера к «Госуслугам» из-за рисков безопасности. То есть реализована именно доставка кодов, а не перенос учётной записи или доступа к данным портала.

Механика

Как устроена доставка кода
через мессенджер

Принципиально схема не отличается от эсэмэски: сервис генерирует одноразовый код и передаёт его вам по выбранному каналу. Меняется только транспорт — вместо сети оператора связи используется интернет-соединение и инфраструктура мессенджера.

🔎 Цепочка целиком 📨
Что происходит между вводом логина и приходом кода
Вы инициируете действие. Вход, смена пароля, подтверждение операции. Код всегда привязан к конкретному действию и живёт считанные минуты.
Сервис проверяет выбранный канал. В профиле учётной записи указано, куда слать подтверждение: СМС, почта или сообщение в мессенджер. Настройка хранится у сервиса, а не в приложении.
Код уходит на номер, а не «в чат к друзьям». Идентификатором остаётся ваш телефонный номер — тот же, что был бы у эсэмэски. Мессенджер здесь выступает адресной книгой и каналом доставки.
Сообщение приходит от служебного отправителя. Такие сообщения приходят от системного аккаунта сервиса, а не от человека, и обычно не позволяют вести переписку в ответ.
Код вводится вами и сгорает. После использования или по истечении срока он становится бесполезен. Именно поэтому «сверка кода» с посторонним не имеет ни одного законного сценария.
💡Мессенджер не «знает» ваш пароль
Распространённое заблуждение: раз коды приходят в приложение, значит, приложение имеет доступ к банку или порталу. Это не так. Доставка кода — односторонняя передача текста. Аутентификация происходит на стороне сервиса, когда вы вводите код в его собственном интерфейсе.
Причины

Почему сервисы уходят
от СМС-подтверждений

Уход от эсэмэсок — общемировой процесс, начавшийся задолго до появления MAX. Крупные платформы годами переводят подтверждения в приложения-аутентификаторы и push-уведомления. Причин несколько, и безопасность здесь только одна из них.

💸
Стоимость отправки
Каждая эсэмэска — платная услуга оператора связи. При миллионах подтверждений в сутки это заметная статья расходов, которой у доставки через интернет попросту нет.
🔓
СМС не шифруются
Технология создавалась в конце восьмидесятых и не проектировалась как защищённый канал. Содержимое передаётся в открытом виде и проходит через инфраструктуру оператора.
📵
Перевыпуск сим-карты
Классический сценарий увода доступа: злоумышленник получает дубликат сим-карты и вместе с ним все коды подтверждения. Мессенджер к номеру привязан, но требует ещё и входа в аккаунт.
🌍
Роуминг и связь
За границей или в зоне слабого сигнала эсэмэска может идти долго или не дойти вовсе. Сообщение через интернет работает по любому Wi-Fi.
📊
Обратная связь по доставке
Сервис видит, что сообщение доставлено и прочитано. С эсэмэсками статус доставки менее надёжен, а разбор жалоб «код не пришёл» дороже.
🧾
Формат сообщения
В сообщении помещается больше контекста: что подтверждается, для какой операции, с какого устройства. Это само по себе снижает шанс, что человек подтвердит чужое действие.

Последний пункт недооценивают. Значительная часть успешных атак строится на том, что человек не читает текст сообщения, а сразу диктует цифры. Развёрнутая формулировка «вы подтверждаете вход в личный кабинет» даёт шанс остановиться.

Честное сравнение

Что подход даёт
и где он проигрывает

Ни один канал доставки не является безусловно лучшим. У доставки через мессенджер есть выигрыши там, где СМС слабы, и есть собственные слабые места, о которых стоит знать заранее.

Плюс: устойчивость к перевыпуску сим-карты. Одной сим-карты для получения кода недостаточно — нужен ещё доступ к аккаунту в мессенджере.
Плюс: работа без сотовой сети. Wi-Fi достаточно. В роуминге и в зданиях с плохим приёмом это ощутимо.
Плюс: понятный контекст в сообщении. Видно, что именно подтверждается, а не просто «Ваш код 483920».
⚠️Риск: зависимость от одного приложения. Потеряли доступ к мессенджеру — потеряли и канал подтверждения. Запасной способ входа стоит настроить заранее.
⚠️Риск: нет E2E-шифрования по умолчанию. Это предмет критики со стороны специалистов по безопасности. Для одноразовых кодов с коротким сроком жизни риск ниже, чем для личной переписки, но упоминания он заслуживает.
⚠️Риск: маскировка под служебные сообщения. Раз коды приходят в мессенджер, мошенникам проще писать «от имени сервиса» в том же интерфейсе. Отличать служебные сообщения от личных придётся внимательнее.
⚠️Главный риск не технический
Ни один из перечисленных пунктов не сравнится по частоте с социальной инженерией. Распространены схемы, где злоумышленники представляются сотрудниками MAX и выманивают коды от Госуслуг. Канал доставки для этой атаки безразличен: человек сам передаёт код в разговоре. Именно поэтому спор «мессенджер или СМС» с точки зрения защиты вторичен.
Практика

Как пользоваться этим
без лишнего риска

Смена канала доставки не требует от пользователя перестройки привычек, но несколько настроек имеет смысл сделать один раз — они снимают почти все специфические риски подхода.

🔧 Пять действий на один вечер 🛡️
Скройте текст уведомлений на экране блокировки. Настраивается в системных параметрах телефона. После этого код нельзя прочитать, не разблокировав устройство, — это закрывает сценарий «взял чужой телефон со стола».
Поставьте пароль или биометрию на устройство. Очевидная мера, которую регулярно игнорируют. Без неё все остальные настройки декоративны.
Включите двухфакторную защиту в мессенджере. Тогда войти в ваш аккаунт с чужого устройства, зная только номер, не получится.
Держите запасной способ входа. Подтверждённые и актуальные номер и почта в профиле сервиса. Это страховка на случай потери доступа к приложению.
Читайте текст сообщения целиком. Не только цифры. Если вы не запускали действие, описанное в сообщении, — код вводить некуда, а вот пароль сменить стоит.

И одно правило, которое не меняется ни при каком канале доставки: код называют только вводом в форму на сайте или в приложении сервиса, где вы сами начали действие. Никогда — голосом, никогда — в переписке, никогда — «сотруднику», который позвонил первым.

Перспектива

Куда это движется
и чего ждать дальше

Прогнозы здесь стоит давать осторожно: официальных дорожных карт по расширению списка сервисов, подключающих доставку кодов, не публиковалось. Но общее направление читается по тому, что уже работает внутри мессенджера.

В MAX уже действуют Цифровой ID, запись к врачу, домовые чаты с аудиторией более пяти миллионов человек и встроенный GigaChat. Боты и мини-приложения доступны организациям, прошедшим верификацию на партнёрской платформе. Логика платформы — стать единой точкой входа для сервисных сценариев, и подтверждение действий кодом в эту логику встраивается естественно.

💡Что это значит для пользователя
Скорее всего, доля подтверждений, приходящих в мессенджер, будет расти, а доля эсэмэсок — снижаться. Это меняет привычки, но не меняет базового правила безопасности. Полезнее не спорить о канале, а один раз выстроить гигиену: двухфакторная защита, скрытые уведомления, актуальные запасные контакты и жёсткое «код не диктую» в любом разговоре.
Вопросы

Частые вопросы
о кодах в мессенджере

Почему код пришёл в MAX, хотя я об этом не просил?+
Сервис выбирает доступный канал доставки по данным вашего профиля. Если код пришёл при вашем собственном входе — всё в порядке. Если вы ничего не начинали, значит, кто-то вводит ваш логин: смените пароль и проверьте активные сессии.
Это безопаснее, чем СМС?+
По отдельным векторам — да: доставка через интернет не уязвима к перевыпуску сим-карты и не идёт открытым текстом через сеть оператора. По другим — появляется зависимость от доступа к аккаунту мессенджера. Против социальной инженерии оба канала одинаково беспомощны.
Может ли MAX прочитать мои банковские данные, раз коды идут туда?+
Доставка кода — это передача текстового сообщения на ваш номер. Доступа к банковскому приложению или к учётной записи на портале мессенджер не получает. Полноценное подключение к «Госуслугам» ФСБ не разрешила именно из соображений безопасности.
Что будет, если я потеряю телефон?+
Порядок тот же, что и с СМС: заблокировать сим-карту у оператора, завершить сессии в важных сервисах через другое устройство, сменить пароли. Заранее настроенный запасной способ подтверждения — почта или второй номер — превращает аварию в неудобство.
Можно ли вернуть коды обратно на СМС?+
Способ подтверждения меняется в настройках безопасности учётной записи на стороне сервиса — портала или банка, а не в мессенджере. Перед переключением убедитесь, что указанный в профиле номер актуален, иначе можно остаться без доступа.
Мне написал «сотрудник MAX» и просит код из сообщения. Это законно?+
Это мошенничество. Известны схемы, где злоумышленники представляются сотрудниками мессенджера и выманивают коды. Ни поддержка мессенджера, ни банк, ни портал никогда не запрашивают одноразовый код в переписке или по телефону.
Мессенджер становится
сервисной платформой
Чем больше повседневных сценариев переезжает в MAX, тем ценнее заметность канала внутри экосистемы. Каталог помогает читателям находить вас — и отличать настоящий канал от подделки.
Страница канала в Яндекс и Google за 2–5 дней
Крупнейший каталог каналов MAX в России
VIP-блок — максимальная видимость в каталоге
Живые подписчики — реальный рост, не боты
коды приходят в MAX вместо СМС доставка кодов MAX одноразовый код в MAX MAX вместо СМС банк коды Госуслуг в мессенджере почему не приходит СМС с кодом безопасность кодов подтверждения перевыпуск сим-карты мошенники двухфакторная аутентификация 2026 MAX сервисы и Цифровой ID