Toggle sidebar

Статья Обход двухфакторной аутентификации (MFA) в 2026: Техники, инструменты и защита

1772152992188.webp

Все мы слышали, что двухфакторная аутентификация (MFA) - это мастхэв, защитник в битве с киберугрозами, что без неё - как без брони в нашу эпоху. Ещё вчера мы радовались, когда сайт предложил включить MFA, думая: "Ну вот, теперь-то я в безопасности!" Но что если я скажу, что всё это - просто иллюзия? Уязвимости MFA растут как на дрожжах, а атаки против неё становятся всё изощрённее.

В 2026 году атакующие как будто собрались и решили, что пора показывать серьёзный уровень. В ответ на гипертрофированное доверие к MFA они выпустили целую линейку техник обхода, и не абы каких, а с хитроумными подходами, которые мы, честно говоря, не ожидали.

Типы MFA и их слабости​

Пройдёмся по основным методам, которые на слуху, и, как обычно, раскроем их слабые места. Поверь, у каждого из них есть свои фокусы.

SMS: слабый, но народный​

Окей, начнём с самого простого - SMS. Пошло оно в массы, ещё лет 10 назад люди были уверены, что если код придёт на телефон, то система защищена. Но на дворе уже 2026 и атакующие давно нашли лазейки, чтобы накрыть этот защитный слой.

Самая известная угроза - это SIM swap, или, проще говоря, подмена SIM-карты. Что нужно для этого атакующему? Обычный телефон и, скажем так, техническая поддержка мобильного оператора. Через социальную инженерию или манипуляции с оператором, атакующий может перенести номер на свою SIM-карту. Вуаля, теперь все SMS с кодами MFA прилетают к нему. Вопрос только в том, как быстро ты заметишь, что твой номер ушёл в другие руки.

Есть и более классные способы, вроде SS7 атак, когда злоумышленники просто перехватывают SMS на уровне сотовых операторов. Ну, а если вдруг ты думаешь, что защита от перехвата кодов - это ваша сотовая сеть и её очень интересная архитектура, тут тебе точно стоит пересмотреть свою позицию.

TOTP (Google Auth, Authy): уязвим, но не так, как SMS​

Давай теперь поговорим про TOTP. Тут уже получше, чем с SMS, потому что код генерируется на устройстве, и его не перехватить через ту же SIM-карту. Вроде бы всё безопасно.

Но есть одна проблемка: TOTP уязвим к фишингу. Всё, что тебе нужно, чтобы попасть в эти сети - это кликнуть на фишинговую ссылку и ввести свой код. Всё остальное не важно. В общем, TOTP всё ещё лучше SMS, но, скажем так, он не спасает от самых стандартных атак, в том числе и от фишинговых страниц.

Push: как эффективно закидывать жертву в ловушку​

Все их любят, и кажется, что всё работает без нареканий. Но тут есть важный момент - MFA fatigue, который начинает работать, когда злоумышленник просто шлёт тебе бесконечные уведомления, чтобы ты случайно, ещё не осознав, нажал «Approve». Это и называется push bombing. На самом деле, всё просто: ты от усталости или непонимания можешь случайно нажать на кнопку. Тут, конечно, зависит от пользователя, но, согласись, если это не ты - то кто-то из пользователей точно попался бы.

В статье: "Социальная инженерия: психология взлома и защита от атак на человеческий фактор" мы рассказали, как MFA становится критичным уровнем защиты против фишинга и других манипуляций с человеческим фактором и, почему MFA хоть и не идеальна, но всё же остаётся важной частью защиты.
Нажмите, чтобы раскрыть...

Adversary-in-the-Middle (AiTM): атаки через фишинг в реальном времени​

Adversary-in-the-Middle (AiTM) - это реальные угрозы, которые, возможно, уже прямо сейчас подбираются к твоей организации. Ты, наверное, слышал, что на рынке безопасности всё больше говорят про перехват сессий или «reverse proxy». Так вот, эти атаки - это то, что делает фишинг ещё более эффективным. Злоумышленник ставит reverse proxy, который ложится между жертвой и настоящим сайтом. В чём прикол? Жертва, кликая на ссылку или попадая на фишинговую страницу, даже не догадывается, что перед её глазами реальный сайт, только вот перехваченный, с каким-то промежуточным звеном, которое записывает каждый её шаг.

Когда пользователь вводит свой логин и пароль, атакующий не сразу получает доступ. Здесь есть фишка, и она заключается в том, что атакующий жертву на время как бы занимает. То есть, он сам запускает сессию, ты проходишь аутентификацию, но на самом деле атакующий использует не свои данные для входа, а твои.

Как это работает:
  1. Жертва переходит по фишинговой ссылке, думая, что это обычный сайт.
  2. Proxy-скрипт передаёт запрос на оригинальный сайт, и жертва верифицирует свою личность, выполняя MFA.
  3. А вот теперь-то и начинается самое интересное. На выходе у атакующего оказывается session token - ключ, который даёт ему доступ к аккаунту жертвы, а MFA уже не нужно. Он использует чужую сессию.
Выглядит это как обычный фишинг, но под капотом скрывается перехват сессии, и теперь твоё MFA вообще не работает, потому что весь процесс уже выполнен. Вот такая вот хардкорная магия.

Где это используется?

На самом деле, если ты работаешь с такими сервисами как Microsoft 365 или Google, будьте уверены - это могут быть основные цели таких атак. А ещё, что интереснее, атаки могут быть не замечены обычными пользователями. Как бы они не защищались, даже MFA тут не поможет, если их сессия будет перехвачена.

Вопрос в том, насколько твоя организация подготовлена к такого рода атакам? Если тебе кажется, что такие вещи сложно осуществить, то это прям классика жанра. Угрозы, которые могут обойти MFA за счёт перехвата, - это уже не фантазии, это реальность. Теперь добавь в картину использование не просто ссылок для фишинга, а ещё и модернизированных проксей, таких как Evilginx2 или Modlishka и ситуация становится ещё хуже.

FIDO2 как решение: золотой стандарт, которого не хватает всем​

FIDO2 - это не просто способ входа в систему. Это философия безопасности, которая сделала пароли и SMS устаревшими. Больше никаких "один пароль на все". Больше никаких кодов с телефона, который так легко перехватить. Это чистая защита от фишинга, криптовалютного фрода и всех остальных дыр в безопасности.

Погнали, я покажу, почему ты не можешь без этого жить.

Техническая архитектура: это тебе не просто шифрование, это хардкор​

Знаешь, что самое интересное в FIDO2? Это не просто защита, это такой криптографический щит, что даже самые смекалистые хакеры не смогут его пробить. Всё работает на принципах асимметричного шифрования, где у тебя есть приватный ключ, который хранится исключительно на твоём устройстве, и публичный ключ, который живёт на сервере.

Простыми словами: при аутентификации твой приватный ключ никогда не покидает устройство. Всё происходит на твоём телефоне, твоём ключе (например, YubiKey) или встроенном решении, например, Windows Hello. Да, ты правильно понял, у хакеров нет никакой возможности украсть или перехватить твой приватный ключ, потому что его просто нет в сети.
  1. Ты проходишь на сайт.
  2. Сервер посылает тебе запрос на аутентификацию.
  3. Твой аутентификатор подписывает этот запрос приватным ключом.
  4. Ответ возвращается на сервер, и все проверяется через публичный ключ.
Здесь нет ни паролей, ни дешёвых методов обхода. Никакой социальный инженеринг и фишинговые страницы не смогут перехватить этот ключ, потому что он не передаётся.

Ты не поверишь, но даже если атакующий настроит свою фишинговую страницу, на которой ты введёшь все свои данные, он не получит доступа, потому что запрос будет проверяться не только на базе ключа, но и на привязке к определённому источнику - то есть, если злоумышленник захочет использовать твой запрос на другом сайте, он не пройдет проверку.

Как это работает? Ключи привязаны не просто к устройству, а к конкретному домену. Твой ключ не будет работать на фальшивом сайте, потому что сайт - это часть аутентификации. Ты проверяешь, что всё идёт по правильному пути, и это автоматом блокирует попытки манипуляций.

Почему FIDO2 просто уничтожает фишинг​

Теперь давай по-настоящему окунёмся в самую суть. Фишинг - это, по сути, основной враг любого способа аутентификации. Все мы знаем, как работает фишинг. Ты попадаешь на поддельную страницу, на которой вводишь свои данные, и вуаля, злоумышленник получает доступ.

Но тут в игру вступает FIDO2. Злоумышленник может пытаться всё что угодно, но если на его фишинговой странице нет настоящего публичного ключа для твоего устройства, то это будет просто бесполезно. Ты на фальшивом сайте? Извини, шансов пройти дальше нет. Всё блокируется на этапе проверки origin, даже если злоумышленник нацелен на перехват твоих данных, ему не удастся подписать запрос, потому что он не привязан к конкретному источнику.

Заключение​

И вот, мы прошли через все эти методы обхода MFA, разобрались в уязвимостях. Поговорили о том, как старые методы, вроде SMS и TOTP, на самом деле не решают проблем, а FIDO2 - это твой лучший союзник в защите от фишинга. А теперь, вооружённый этими знаниями, ты можешь наконец поднять планку безопасности на новый уровень.

Но вот вопрос: насколько безопасен твой мир, если в нём всё ещё могут прокрасться такие лазейки? Всё ли ты учёл? Не пришло ли время для следующего шага, или мы продолжаем строить песочницу, когда уже наступил следующий уровень атаки? Ответ остаётся за тобой.
 
Последнее редактирование:
Нажмите, чтобы раскрыть...
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

Luxkerr
  • Статья Статья
Статья Антифрод в телекоме: защита от SIM-swap и подписочного фрода
Ответы
0
Просмотры
685
Общение и нетворкинг
Luxkerr
Luxkerr
samhainhf
  • Статья Статья
Статья Управление идентификацией и доступом: Современные подходы
Ответы
0
Просмотры
422
Общение и нетворкинг
samhainhf
samhainhf
samhainhf
  • Статья Статья
Статья Атаки на SIM-карту (SIM Swapping): Методы защиты
Ответы
0
Просмотры
562
Общение и нетворкинг
samhainhf
samhainhf
samhainhf
  • Статья Статья
Статья Техника ClickFix: Анализ автоматизированных фишинговых систем
Ответы
0
Просмотры
949
Общение и нетворкинг
samhainhf
samhainhf

Популярный контент

Верх Низ
Назад