15.05.2025
Дата публикации
Многофакторная аутентификация (MFA), ранее считавшаяся эффективной защитой от взлома, оказывается всё более уязвимой перед новым типом атак — фишингом посередине (adversary-in-the-middle). Хакеры научились обходить OTP-коды и push-уведомления с помощью готовых инструментов.
Специалисты Cisco Talos предупреждают: в даркнете появился целый рынок сервисов вроде EvilProxy, Rockstar 2FA и Mamba 2FA. Эти инструменты предлагают фишинг «как услугу» и позволяют даже новичкам развернуть поддельные страницы входа и прокси-серверы для перехвата логинов и MFA-кодов.
Сценарий атаки типичен: жертве отправляют ссылку на поддельную страницу, маскирующуюся под, например, Google. Пользователь вводит свои данные, которые перехватываются прокси и передаются настоящему сайту, чтобы вызвать MFA-запрос.
Затем тот же прокси пересылает пользователю настоящий MFA-код — и жертва, полагая, что она на легитимном сайте, вводит его. Так злоумышленник получает доступ к учётной записи даже при включённой MFA-защите.
Push-уведомления тоже не спасают: человек просто нажимает «разрешить вход», как и в случае обычной авторизации. Таким образом, привычные методы аутентификации стали столь же уязвимыми, как и простой пароль.
Атаки с прокси становятся всё популярнее. Например, в 2022 году одна хак-группа похитила 10 тыс. учётных записей у 137 организаций, включая сервис аутентификации Twilio. Единственной устоявшей оказалась компания Cloudflare, использовавшая более надёжную технологию — WebAuthn.
WebAuthn, в отличие от OTP и push-кодов, использует криптографическую привязку к URL и конкретному устройству. Это означает, что даже точная копия сайта не сможет пройти аутентификацию, если URL отличается хотя бы на символ.
Кроме того, WebAuthn требует физического присутствия ключа — будь то смартфон, ноутбук или USB-брелок. Попытки использовать такой метод через прокси попросту не сработают, так как доступ к ключу будет невозможен.
Важно, что при успешной атаке жертва рискует не только потерей доступа к аккаунту — могут быть скомпрометированы и персональные данные, включая адреса, банковскую информацию и содержимое переписки.
В условиях, когда фишинг эволюционирует, а MFA на базе SMS и push становится недостаточной, эксперты советуют переходить на WebAuthn. Это пока самый надёжный способ защитить аккаунт — как от мошенников, так и от их всё более умных прокси.
Специалисты Cisco Talos предупреждают: в даркнете появился целый рынок сервисов вроде EvilProxy, Rockstar 2FA и Mamba 2FA. Эти инструменты предлагают фишинг «как услугу» и позволяют даже новичкам развернуть поддельные страницы входа и прокси-серверы для перехвата логинов и MFA-кодов.
Сценарий атаки типичен: жертве отправляют ссылку на поддельную страницу, маскирующуюся под, например, Google. Пользователь вводит свои данные, которые перехватываются прокси и передаются настоящему сайту, чтобы вызвать MFA-запрос.
Затем тот же прокси пересылает пользователю настоящий MFA-код — и жертва, полагая, что она на легитимном сайте, вводит его. Так злоумышленник получает доступ к учётной записи даже при включённой MFA-защите.
Push-уведомления тоже не спасают: человек просто нажимает «разрешить вход», как и в случае обычной авторизации. Таким образом, привычные методы аутентификации стали столь же уязвимыми, как и простой пароль.
Атаки с прокси становятся всё популярнее. Например, в 2022 году одна хак-группа похитила 10 тыс. учётных записей у 137 организаций, включая сервис аутентификации Twilio. Единственной устоявшей оказалась компания Cloudflare, использовавшая более надёжную технологию — WebAuthn.
WebAuthn, в отличие от OTP и push-кодов, использует криптографическую привязку к URL и конкретному устройству. Это означает, что даже точная копия сайта не сможет пройти аутентификацию, если URL отличается хотя бы на символ.
Кроме того, WebAuthn требует физического присутствия ключа — будь то смартфон, ноутбук или USB-брелок. Попытки использовать такой метод через прокси попросту не сработают, так как доступ к ключу будет невозможен.
Важно, что при успешной атаке жертва рискует не только потерей доступа к аккаунту — могут быть скомпрометированы и персональные данные, включая адреса, банковскую информацию и содержимое переписки.
В условиях, когда фишинг эволюционирует, а MFA на базе SMS и push становится недостаточной, эксперты советуют переходить на WebAuthn. Это пока самый надёжный способ защитить аккаунт — как от мошенников, так и от их всё более умных прокси.
