Сегодня даже многофакторная аутентификация (MFA) — один из главных столпов корпоративной кибербезопасности — больше не гарантирует защиту. Появление доступных фишинговых наборов и стремительное развитие атак типа «злоумышленник посередине» (Adversary-in-the-Middle, AiTM) делают стандартные методы MFA уязвимыми — особенно если речь идет о человеческом факторе.
MFA ломается, когда человек не замечает подвоха
Платформы типа phishing-as-a-service (PhaaS) сегодня поставляют готовые решения: скрипты, шаблоны фишинговых страниц, инструкции. Злоумышленнику даже не нужно быть айтишником, чтобы взломать защищенную учетную запись сотрудника через прокси-сервер, маскирующийся под сайт Microsoft, Google или любого другого провайдера.
Как это работает:
1. Сотрудник получает фишинговое письмо — например, «ваш аккаунт заблокирован».
2. Переходит по ссылке и видит знакомый интерфейс входа — он не подозревает, что это подделка.
3. Вводит логин, пароль и код из приложения MFA.
4. Злоумышленник в режиме реального времени передает эти данные на настоящий сайт и получает полный доступ.
Даже push-уведомления или коды из приложений, казалось бы, надежные, — бесполезны, если человек доверился ложному интерфейсу.
Устаревшие методы MFA ≠ защита
TOTP, SMS, push — уязвимы. Все эти методы можно перехватить и повторно использовать через прокси-серверы, маскирующиеся под легитимные ресурсы.
Реальные кейсы это доказывают: в 2022 году атаки AiTM скомпрометировали более 10 000 учетных записей в сотнях компаний, включая техногигантов.
Если вы до сих пор надеетесь, что MFA — это все, что нужно для защиты, у нас плохие новости: ваши сотрудники — следующая цель.
Даже самая продвинутая технология бессильна, если человек нажимает «одобрить вход» злоумышленнику.
Наша антифишинговая платформа обучает сотрудников распознавать атаки до того, как они произойдут. Мы не заменяем технологии — мы усиливаем их, обучая людей думать как злоумышленник, и вовремя распознавать ловушки:
поддельные URL, замаскированные под известные домены, срочные, вызывающие панику сообщения, психологические трюки, используемые в письмах и многое другое.
Вывод: людей нужно учить. Атаку остановит не технология — её остановит человек, который распознаёт атаку.
Если вы хотите, чтобы ваша компания не попала в следующую статистику — научите своих людей защищаться.
StopPhish — это ваш щит там, где заканчивается защита технологий.