Перемога над MFA: Загрози фішингу та способи захисту
Чому MFA легше обійти, ніж будь-коли раніше
Мультфакторна аутентифікація (MFA), що базується на одноразових паролях (OTP) та пуш-сповіщеннях, колись вважалася золотим стандартом для захисту від атак на захоплення облікових записів. Однак у 2025 році з’явилася нова індустрія фішингу як послуги (PhaaS), яка зробила обхід цих захистів тривіальним навіть для непідготовлених злочинців. Ці готові рішення використовують проксі-сервери з атакою посередника (AiTM), автоматичну видачу TLS-сертифікатів та переконливі HTML-шаблони для крадіжки паролів і додаткових факторів у реальному часі.
Модель атаки посередника
В атаці AiTM зловмисник перебуває між жертвою та легітимним сервісом, прозоро пересилаючи запити та відповіді:
- Жертва натискає на шкідливе посилання, що імітує справжній домен (наприклад,
accounts.google.com.evilproxy[.]com). - Трафік проходить через проксі-зловмисника, який демонструє ідентичну сторінку входу—часто розгорнуту як контейнер Docker з автоматичними сертифікатами Let’s Encrypt.
- Жертва вводить ім’я користувача та пароль; проксі передає дані на справжній сайт через HTTPS.
- Справжній сайт генерує OTP або запит на підтвердження; проксі миттєво пересилає його назад жертві.
- Жертва надає або підтверджує другий фактор, не підозрюючи, що взаємодіє з сервером, контрольованим зловмисником.
- Проксі надсилає дійсний код або підтвердження на реальний сайт, завершуючи процес аутентифікації.
Популярні набори AiTM—Tycoon 2FA, Rockstar 2FA, EvilProxy, Greatness, Mamba 2FA та відкритий код Evilginx2—рекламуються на форумах темної мережі всього за 50 доларів на місяць. Багато з них включають готову реєстрацію доменів, автоматизоване управління сертифікатами через протокол ACME та налаштовувані конструктори фішингових сторінок на базі React або Vue.js, що робить їх розгортання справою кількох хвилин.
Чому OTP та пуш-базована MFA підлягають фішингу
Одноразові паролі, що відповідають стандарту RFC 6238 (TOTP) або надсилаються через SMS, залишаються відкритими числами, які відображаються на пристрої користувача. Їх можна перехопити, повторно використати протягом звичайного 30-60 секундного терміну дії або зібрати за допомогою троянського програмного забезпечення для пересилання SMS. Пуш-сповіщення—які популяризували постачальники ідентифікації OAuth та SAML—зазнають аналогічної долі: одного натискання на підроблене сповіщення достатньо для підтвердження сесії. Завдяки автоматизації та проксі-серверам фішингу, зловмисники можуть збирати десятки тисяч дійсних OTP або підтверджень щомісяця.
Сильні альтернативи: WebAuthn, FIDO2 та U2F
Стандарти аутентифікації, такі як FIDO2 та його API WebAuthn, зменшують ризик атак AiTM завдяки криптографічному зв’язуванню з ідентифікатором надійної сторони (RP) та походженням клієнта. Основні характеристики включають:
- Зв’язування з походженням: Обмін запитом-відповіддю використовує параметр
clientDataJSON, який кодує RP ID та походження. Облікові дані, згенеровані дляaccounts.google.com, не працюватимуть, якщо їх надіслати зaccounts.google.com.evilproxy.com. - Зв’язування з пристроєм: Приватні ключі зберігаються в модулі безпеки апаратного забезпечення—такому як Trusted Platform Module (TPM 2.0), захищена область або USB-токен (наприклад, YubiKey)—і ніколи не залишають пристрій.
- Присутність користувача і верифікація: Для розблокування приватного ключа потрібне біометричне сканування або жест користувача (натискання кнопки).
Згідно з доповіддю FIDO Alliance за 2024 рік, WebAuthn знижує кількість фішингових злочинів на 99,9%. NIST SP 800-63B тепер рекомендує використовувати пристрої аутентифікації, стійкі до фішингу, як обов’язковий контроль для операцій з високою вартістю.
Кейс-стаді: Високопрофільні інциденти та отримані уроки
У 2022 році одна з активних груп PhaaS зламала понад 10,000 облікових даних у 137 організаціях, включаючи постачальника аутентифікації Twilio. Центр скарг на Інтернет-злочини ФБР (IC3) повідомив про 15% зростання фішингу в стилі AiTM у першому кварталі 2025 року, при цьому основними цілями стали орендарі Microsoft 365 та портали на основі SAML. Cloudflare, який впроваджує WebAuthn для внутрішніх систем, залишився неушкодженим під час кампанії. Їх команда безпеки зазначає, що ключі FIDO2, прив’язані до походження, та сувора політика ізоляції браузерів допомогли зупинити атаку.
Еволюція загроз: Автоматизація та ШІ у фішингу як послуги
Останні інновації в генеративному ШІ значно підвищили можливості розробників фішингових наборів. Великі мовні моделі створюють персоналізовані фішингові електронні листи в масштабах, тоді як технології глибокого підроблення голосу дозволяють проводити реалістичні вішинг-дзвінки, щоб підготувати жертв до збору облікових даних. Деякі постачальники тепер об’єднують автоматизовану генерацію шаблонів з AI-скануванням доменних імен, що забезпечує високі показники клікабельності. Аві Олеарі, директор з продуктів Okta, попереджає, що «зловмисники наступного покоління використовуватимуть соціальну інженерію, підкріплену машинним навчанням, щоб обійти навіть просунуті системи виявлення аномалій».
Стратегії пом’якшення: Поза WebAuthn
- Архітектура нульового довіри: Впроваджуйте сегментацію мережі та контролі доступу на основі найменших привілеїв. Використовуйте постійні перевірки стану пристроїв та контекстні політичні механізми (наприклад, Cisco Duo або Microsoft Conditional Access).
- Аутентифікація на основі ризику: Використовуйте ML/AI-движки, які оцінюють біометричні дані, репутацію IP-адрес та відбитки пристроїв, щоб активувати підвищену аутентифікацію лише у разі виникнення аномалій.
- Модулі апаратної безпеки (HSM): Централізуйте операції PKI та управління життєвим циклом облікових даних у HSM рівня FIPS 140-2, щоб захистити ключі підпису.
- Навчання користувачів та симуляції: Регулярні навчання з фішингу через платформи, такі як KnowBe4, у поєднанні з інструментами для звітності в реальному часі, допомагають зміцнити стійкість та зменшити показники кліків.
Висновок
Хоча OTP та пуш-базована MFA забезпечують певний рівень захисту, комплекти AiTM стали повністю автоматизованими пропозиціями PhaaS, які роблять ці методи дедалі менш ефективними. Організаціям необхідно впроваджувати автентифікатори, стійкі до фішингу, такі як WebAuthn, дотримуватись принципів нульового довіри та використовувати аналітику ризиків на основі ШІ, щоб залишатися попереду швидко змінюваних загроз.