Многофакторная аутентификация (MFA) больше не спасает от фишинга «человек посередине» (AiTM), который перехватывает токены сессий. Старые методы обучения неэффективны. Эксперт объясняет три провала защиты и предлагает решения: FIDO2, привязку сессий к устройствам и мониторинг аномалий. — csoonline.com
Многофакторная аутентификация (MFA) должна была стать решением. Годами команды по безопасности уверяли сотрудников, что MFA обеспечит им защиту. Пароль украден? Не проблема — злоумышленникам все равно потребуется второй фактор.
Но фишинг с атаками типа «человек посередине» (Adversary-in-the-Middle, AiTM) изменил всё. Эти атаки не пытаются украсть пароли и коды MFA по отдельности. Они перехватывают весь процесс аутентификации в реальном времени, включая токен сессии, который подтверждает, что пользователь вошел в систему. Сотрудник делает все правильно — проверяет HTTPS, подтверждает запрос MFA, избегает подозрительных вложений — и все равно становится жертвой компрометации.
Это должно волновать каждого руководителя по безопасности. Если наше обучение, наша MFA и наши программы повышения осведомленности в области безопасности не могут защитить того, кто искренне старается быть осторожным, то что именно мы обещаем, когда говорим пользователям, что MFA их защитит?
Почему это не тот фишинг, для которого вас обучали
Традиционный фишинг подразумевал небрежные поддельные страницы входа с опечатками и сомнительными URL-адресами. Такие страницы не могли обрабатывать MFA, поскольку не имели связи с реальной службой аутентификации.
Вот что изменилось, и я бы хотел, чтобы больше руководителей по безопасности это понимали: современные фишинговые страницы не поддельные. Они являются прокси.
Инструменты вроде Evilginx располагаются между пользователем и легитимным сервисом — Microsoft, Google, Okta, кем угодно — и ретранслируют все в реальном времени. Сотрудник вводит свой пароль. Он уходит в Microsoft. Microsoft отправляет запрос MFA. Он возвращается через прокси на телефон сотрудника. Сотрудник одобряет его. Сессионный файл cookie — этот золотой токен, подтверждающий аутентификацию — проходит прямо через прокси в руки злоумышленника.
Сотрудник видит успешный вход в систему и продолжает заниматься своими делами. Злоумышленник берет этот же сессионный файл cookie, открывает браузер на совершенно другой машине, и он внутри. Пароль не нужен. Запрос MFA не требуется. Просто чистая, аутентифицированная сессия, принадлежащая кому-то другому.
Что меня беспокоит больше всего, так это тишина. Нет неудачных попыток входа. Нет бомбардировки усталостью от MFA. Нет оповещений о брутфорсе. Все выглядит нормально, потому что технически все было нормально. Аутентификация была реальной. Злоумышленник просто наблюдал, как это происходит.
И это больше не техника уровня национальных государств. Платформы Phishing-as-a-Service — Tycoon 2FA, Sneaky2FA, FlowerStorm — превратили это в товар. Согласно прогнозам Barracuda по безопасности на передовой, ожидается, что к концу 2026 года более 90 процентов атак по компрометации учетных данных будут включать изощренные фишинговые наборы. Отдельный отчет Barracuda об угрозах показал, что 90 процентов крупномасштабных фишинговых кампаний в 2025 году полагались на наборы PhaaS, при этом число известных наборов удвоилось за год. Вам не нужно понимать обратные прокси, чтобы провести эту атаку. Вам нужна кредитная карта и подписка.
Три провала, которые постоянно повторяются
В ходе моего исследования атак «человек посередине» и анализа отраслевых отчетов об инцидентах я выявил три постоянных провала, которые обеспечивают успех этих атак.
1. Мы обучали наших людей для неверной угрозы
Большинство программ повышения осведомленности по безопасности по-прежнему учат одному и тому же: ищите опечатки, проверяйте адрес отправителя, наведите курсор на ссылки. Этот совет был актуален для фишинга 2015 года. При атаке «человек посередине» опечаток нет, потому что страница настоящая — она проксируется из реального сервиса. SSL-сертификат действителен, потому что прокси получает собственный легитимный сертификат. Процесс входа в систему ведет себя в точности так, как ожидается, потому что это реальный процесс входа, просто наблюдаемый кем-то посередине.
Исследователи безопасности протестировали это многократно. Настройка прокси Evilginx против тестового арендатора и отправка фишинговых ссылок специалистам по безопасности — людям, которые знают, как выглядит фишинг, — стабильно приводят к поимке значительного числа из них. Если люди, чья прямая работа заключается в поиске этих атак, не могут отличить их, ожидать этого от сотрудников отделов финансов или кадров нереалистично. Исследование Push Security подтверждает, что фишинг стал омниканальным: примерно одна из трех фишинговых атак теперь доставляется полностью вне электронной почты, через такие каналы, как личные сообщения в LinkedIn и поиск Google.
2. Мы слишком доверяем сессионным файлам cookie
После завершения MFA большинство организаций считают полученную сессию неприкосновенной. Пользователь доказал, кто он, поэтому мы позволяем ему работать. Но сессионные файлы cookie — это токены предъявителя: тот, кто ими владеет, является аутентифицированным пользователем. Нет привязки между файлом cookie и устройством, которое его сгенерировало. Нет отпечатка. Нет якоря. Злоумышленник, укравший сессионный файл cookie из Лондона, может воспроизвести его из совершенно другого места, и поставщик идентификации примет его как легитимного пользователя. Исследование Silverfort продемонстрировало, что даже после успешной аутентификации FIDO2 многие поставщики идентификации остаются уязвимыми для угона сессий, поскольку сессионные токены, созданные после аутентификации, недостаточно защищены.
3. Мы реагируем на кражу учетных данных, а не на кражу сессии
Плейбуки реагирования на инциденты построены вокруг скомпрометированных паролей: принудительный сброс, отзыв токенов, повторная регистрация MFA. Но при атаке «человек посередине» пароль не является главной проблемой — сессия является ею. Отраслевые отчеты постоянно показывают, что группы реагирования сбрасывают пароли и считают дело закрытым, в то время как злоумышленники продолжают работать на украденных сессиях в течение нескольких дней. Если вы не отзываете все активные сессии и не отслеживаете воспроизведение сессий, вы на самом деле не устраняете компрометацию.
Что на самом деле работает
Неудобная правда заключается в том, что традиционная MFA — push-уведомления, SMS-коды, приложения-аутентификаторы — не может защитить от фишинга «человек посередине». Аутентификация успешна, потому что это реальная аутентификация. Злоумышленник просто наблюдает и копирует результат. Вот что действительно имеет значение.
Внедряйте аутентификацию, устойчивую к фишингу
Аппаратные ключи безопасности FIDO2 и passkeys криптографически привязывают аутентификацию к конкретному домену. Если запрос на вход поступает с домена прокси, а не из реального сервиса, ключ отказывается подписывать вызов. Согласно документации Microsoft о passkeys, passkeys используют криптографию с открытым ключом, привязанную к источнику (origin-bound), что гарантирует невозможность воспроизведения или передачи учетных данных вредоносным акторам. Внедрение аппаратных ключей может быть сложным — утверждение бюджета требует времени, пользователи нуждаются в обучении. Но начните с чего-то. Первыми должны быть финансовые отделы, ИТ-администраторы и руководители. Люди с наиболее ценным доступом нуждаются в самой надежной аутентификации. Стоит отметить, что исследователи Proofpoint продемонстрировали атаку понижения уровня (downgrade attack) против FIDO в Microsoft Entra ID путем спуфинга неподдерживаемого браузера, поэтому организациям также следует отключать резервные методы аутентификации, где это возможно.
Привязывайте сессии к устройствам
Политики условного доступа, требующие управляемых, соответствующих требованиям устройств, создают аппаратный якорь, который невозможно обойти путем воспроизведения cookie. Если кто-то крадет сессионный файл cookie и пытается воспроизвести его с неуправляемой машины, сессия прерывается. Это одно из самых значимых изменений, которое могут внедрить организации. Это не панацея, но это устраняет самый простой вектор воспроизведения в одночасье.
Отслеживайте аномалии сессий, а не только неудачные входы
Атака «человек посередине» не генерирует неудачных входов. Она генерирует успешные входы, выглядящие идеально. Сигналы кроются в том, что происходит после аутентификации. Следите за невозможными перемещениями между IP-адресом аутентификации и последующей активностью сессии. Следите за регистрацией нового устройства MFA в течение нескольких минут после входа. Следите за созданием правил в почтовом ящике. Анализ угроз Barracuda подчеркивает, что злоумышленники все чаще используют кражу кодов MFA через атаки ретрансляции и нацеливаются на потоки восстановления MFA, что делает мониторинг после аутентификации более критичным, чем когда-либо. Это действия после компрометации, которые злоумышленники выполняют постоянно, и создание правил обнаружения на основе этих шаблонов позволяет отлавливать попытки, которые традиционный мониторинг полностью пропускает.
Перестройте обучение осведомленности в области безопасности
Прекратите учить людей распознавать фишинговые страницы — они не могут этого сделать против современных атак. Анализ Push Security отмечает, что подавляющее большинство фишинговых атак сегодня используют обратные прокси, способные в реальном времени обходить большинство форм MFA, и что старомодные подходы к блокировке URL-адресов оставляют защитников на два шага позади злоумышленников. Вместо этого научите сотрудников одному простому правилу: если вы не инициировали вход самостоятельно, набрав URL напрямую, не доверяйте ему. Не нажимайте на ссылки для входа в письмах, даже если они выглядят легитимными. Переходите к сервису напрямую. Добавьте страницы входа в закладки. И предоставьте людям простой, беспрепятственный способ сообщить о чем-либо, что кажется неправильным, даже если они не могут объяснить почему.
Неудобный вывод
Индустрия безопасности годами говорила организациям, что MFA — это ответ. Это было так — для угроз, которые существовали тогда. Но угроза эволюционировала, а наша защита не успевала за ней.
Фишинг «человек посередине» не ломает MFA. Ему это не нужно. Он терпеливо стоит посередине, наблюдает, как аутентификация происходит в точности так, как задумано, и копирует результат. Наша самая сильная защита не терпит неудачи — она преуспевает, и злоумышленник все равно получает выгоду.
Организации, которые признают этот сдвиг и перейдут на аутентификацию, устойчивую к фишингу, будут защищены. Остальные ждут взлома, который будет выглядеть в точности как обычный вход в систему в понедельник утром — пока не станет слишком поздно.
Мы сказали нашим сотрудникам, что MFA их защитит. Мы обязаны предоставить им защиту, которая действительно это делает.
Эта статья опубликована в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Anjali Gopinadhan Nair