Есть такой тип атаки, при котором злоумышленник от лица авторизованного пользователя выполняет нежелательное действие или сценарий на доверенном сайте, который заведомо известен и часто используем этой жертвой.
Например: пользователь залогинен в онлайн-банке, и злоумышленник отправляет от его имени запрос на перевод денег — без его ведома, но и без вирусного контроля над компьютером жертвы.
MFA как мы понимаем в этом случае частенько также не нужен, всё что надо - это чтобы пользователь находясь в авторизованном режиме прошёл по верной ссылке, где уже и отработается заданный сценарий. Этот тип атак называется CSRF (Cross-Site Request Forgery).
Современная индустрия реальной (а не чиновничей) кибербезопасности имеет целый арсенал средств дополнительного обеспечения безопасности данных. Одним из важнейших таких средств является токенизация систем хранения временных данных (то место в браузере, где хранятся важные временные данные пользователя, пока он авторизован), чаще всего это cookie файлы с техническим минимумом информации о пользователе и его текущих активностях.
На современных веб-платформах, сайтах и приложениях такие файлы защищаются различными средствами, многие из которых сложно использовать даже получив физический доступ к cookie, однако придуманы и более категоричные средства обеспечения защищённости - это токены CSRF.
То, что не внедрено у большинства веб-ресурсов, как малозначимый риск. Однако вполне разумно определяемое, как вполне реальный среднего уровня риск кибербезопасности по ZAP и иным средствам тестирования. Именно отсутствующий CSRF является чуть ли не залогом и одним из главных факторов успешности фишинговых атак, особенно в разрезе обхода MFA! Пример атакующего сайта (обычно такие ссылки отправляются завуалированными через фишинг или подмену DNS/hosts) и пример сайта-жертвы на видео.
Внедрение CSRF токенов заметно снижает риски и угрозы кибератак, особенно за счёт подмены ссылок и классического фишинга, Токены повышают и надёжность MFA. Да, это не панацея, но с другой стороны эффективность MFA снижается практически до 0, если на Ваших ресурсах не развернута CSRF токенизация.
В нашей команде Coders Club мы всегда используем передовые системы защиты CSRF, информационной безопасности вцелом и не фокусируемся исключительно на MFA, как панацеи.
Также через CSRF достаточно легко провести атаку для перехвата данных при заполнении форм. Интересный факт, за счёт CSRF токенов можно снизить риски на любом веб-ресурсе всего за 1-2 дня работы, а на платформах покрупнее - не более чем за неделю. Именно поэтому отсутствие CSRF токенов типично для компаний, в которых явно недорабатывает менеджмент или подрядчики, ответственные за кибербезопасноть, ну или второе - такие менеджры (как часто в последнее время) являются абсолютно не квалифицированными чиновниками, а вовсе не специалистами по информационной безопасности.