Вы вводите пароль, открываете Google Authenticator, вбиваете шестизначный код, подтверждаете push-уведомление на телефоне. Чувство защищённости? Оно обманчиво. На другом конце планеты злоумышленник уже получил ровно то, что ему нужно — не ваш пароль, а результат вашего успешного входа.
Ваш сеанс украден. И MFA здесь совершенно ни при чём.
Почему MFA перестала быть панацеей
Стандартная многофакторная аутентификация решает одну задачу: не дать злоумышленнику войти, даже если он украл пароль. Но современные атаки идут в обход. Они не пытаются подобрать ваш OTP-код перебором. Они заставляют вас самих ввести его на подконтрольной атакующему странице, которая выглядит абсолютно как настоящая.
В ответ на массовое внедрение MFA киберпреступники переключились на атаки типа «злоумышленник посередине» (Adversary-in-the-Middle, AiTM). К августу 2024 года практически 100% наблюдаемых фишинговых кампаний мигрировали от классического воровства паролей к перехвату через прокси.
Это уже не кустарщина. Это промышленный масштаб: в январе–апреле 2025 года в активной коммерческой эксплуатации находилось 11 различных AiTM-китов, а только в октябре Microsoft Defender заблокировал более 13 миллионов вредоносных писем, связанных с одним лишь комплектом Tycoon 2FA.
Как выглядит атака: от письма до токена
Всё начинается с письма. Тема: что-то срочное — «На вас завели дело о нарушении кодекса поведения», «Срочно проверьте счёт», «Обновите пароль до пятницы». Корпоративная тематика, легитимно выглядящие отправители вроде «Internal Regulatory COC», зелёный баннер Paubox с пометкой «зашифровано».
Вы кликаете. Вас встречает капча Cloudflare — первая ступень фильтрации. Она нужна не вам, а системе безопасности: если письмо просматривает автоматический сканер, он натыкается на капчу и уходит ни с чем. Настоящую фишинговую страницу увидят только живые люди. После капчи — промежуточная страница, где «документы зашифрованы, требуется аутентификация для просмотра». Дальше — финальный шлюз.
И вот вы на странице входа. Но это не настоящий Microsoft 365. Это reverse proxy — идеальная копия, которая сидит между вами и реальным сервером. Сертификаты настоящие, домен почти неотличим («umich-portal.net» вместо «auth.umich.edu»). Вы вводите логин и пароль — они транслируются на реальный сервер. Вам приходит SMS или push в аутентификаторе — вы вводите код, и он тоже транслируется.
Вы вошли. Система сказала: «Всё верно». И выдала сессионный cookie — ключ от вашего аккаунта.
Атакующий просто скопировал этот ключ на лету. Теперь он вставляет его в свой браузер и заходит в вашу почту, Teams, OneDrive. MFA пройдена — вами, легитимно, с вашего устройства. Компания потратила полгода на внедрение двухфакторной аутентификации. Через три недели — взлом.
Почему TOTP и push бесполезны
Классическая MFA (SMS, TOTP-коды из аутентификатора, push-уведомления) спроектирована так, чтобы вы вводили код после пароля. Но она не проверяет, куда вы его вводите.
Attackers use modern phishing frameworks like EvilProxy and Tycoon 2FA to bypass MFA at scale — by proxying the entire authentication flow live and capturing the session token after the second factor is entered.
Коды, которые живут 30–60 секунд, перехватываются мгновенно и тут же используются. Push-уведомления с кнопкой «Подтвердить» — ещё хуже: многие пользователи просто устают от постоянных запросов и нажимают «Разрешить», даже не глядя на экран (MFA fatigue, или «усталость от двухфакторки»). В прошлом году хакеры, связанные с Россией, взламывали корпоративные аккаунты Microsoft Entra, используя легитимный OAuth-поток для устройств с ограниченным вводом — как на смарт-телевизорах. Жертвам приходило письмо с кодом и ссылкой на официальный портал Microsoft. Они вводили код — и давали атакующему постоянный доступ, который сохранялся даже после смены пароля.
Как ИИ доводит это до автоматизма
Раньше фишинговая страница была статичной. Её можно было обнаружить по подозрительному домену, странному SSL-сертификату, отсутствию капчи. В 2026 году это всё в прошлом.
Исследователи Microsoft раскрыли крупномасштабную кампанию с использованием AI-driven инфраструктуры, которая затронула более 340 организаций. Её отличает отход от статических, ручных сценариев в сторону полностью автоматизированной, умной системы.
Что это значит на практике.
AI генерирует идеальные тексты писем. Система анализирует компанию-жертву, подбирает стиль корпоративной переписки, учитывает срочность и психологические триггеры. Письмо выглядит так, будто его писал реальный коллега.
AI управляет инфраструктурой. Вредоносные страницы размещаются на серверлесс-платформах (Vercel, Cloudflare Workers, AWS Lambda) и подключают более 1000 уникальных доменов, которые вращаются, живут 72 часа и исчезают.
AI обходит защиту. Вместо статичных кодов, которые истекают через 15 минут, система генерирует их в реальном времени, когда вы уже взаимодействуете со страницей. Окно авторизации остаётся активным ровно столько, сколько нужно атакующему.
Эмуляция мыши: последний штрих
Но допустим, вы всё же заподозрили неладное. Ваш аккаунт уже скомпрометирован, но система безопасности EDR заметила, что сессия открыта с необычного устройства. Она запускает проверку присутствия — отслеживает движения мыши и нажатия клавиш. Если их нет больше минуты — сеанс блокируется.
В 2025–2026 годах эта техника встречается практически в каждом серьёзном RAT-трояне и в большинстве операций с вымогателями.
Атакующий не сидит за вашим компьютером. Его программа делает вид, что за компьютером кто-то есть. Скрипт из нескольких строк на Python каждые 25–55 секунд сдвигает курсор на 1–5 пикселей в случайном направлении и имитирует нажатие клавиши Shift. ОС думает, что вы активно работаете. Банковская сессия не завершается. Криптокошелёк не блокируется.
Более продвинутые версии эмулируют не хаотичные дёрганья, а реалистичную траекторию мыши — с плавными дугами, случайными паузами, инерцией. Hardware-эмуляторы на BadUSB идёт ещё дальше, регистрируя в системе виртуальное HID-устройство, которое ОС воспринимает как физическую клавиатуру или мышь.
Смысл прост: вы уже не контролируете сессию. Но система безопасности считает, что контролируете.
В 2026 году это уже не троян для разовой кражи денег. Это полноценный компонент инструментария профессиональных группировок, которые часами роются в вашей переписке, выставляют правила пересылки писем, скачивают файлы и пытаются пройти дальше в корпоративную сеть.
Что со всем этим делать
Если традиционная MFA больше не спасает, какие методы защиты остаются работоспособными?
Phishing-Resistant MFA (FIDO2/WebAuthn/Passkeys). Аппаратные ключи (YubiKey, Рутокен) и passkeys на основе биометрии привязывают аутентификацию к легитимному домену. Поддельный прокси не может завершить криптографическое рукопожатие — атака просто не пройдёт. Okta Threat Intelligence зафиксировала, что во всех наблюдаемых атаках VoidProxy пользователи с phishing-resistant аутентификаторами не смогли авторизоваться через вредоносную инфраструктуру.
Сессионная привязка к устройствам. Условие: доступ к критическим ресурсам возможен только с корпоративно управляемых устройств, соответствующих политикам безопасности. Если ворованный токен попробуют использовать с левого ноутбука — сессия немедленно завершится.
Аномалийный мониторинг. Поскольку токен уже украден, нужно отслеживать поведение послевхода. Внезапная смена геолокации? Необычный пользовательский агент? Доступ в 3 часа ночи из страны, где нет сотрудников? Такие сигналы должны блокировать токен немедленно.
Что конкретно нужно сделать вашему отделу безопасности прямо сейчас
- Отключить везде, где возможно, аутентификацию по SMS. Три независимых вектора атаки (SS7, SIM-свопинг, фишинг) делают её архитектурно ненадёжной.
- Внедрить FIDO2-ключи для всех привилегированных учётных записей. Это единственный метод, устойчивый к AiTM-фишингу на уровне протокола.
- Пересмотреть политики условного доступа. Включить проверку соответствия устройства корпоративным стандартам. Временно — если нет полного покрытия — хотя бы для finance-ролей и администраторов.
- Обучать сотрудников новым сценариям. «Посмотри на URL» больше не работает, если прокси использует реальный HTTPS и легитимный SSL. Пользователям нужно объяснять не технические детали, а поведенческие паттерны: внезапные капчи, неожиданные запросы на вход, странные временные рамки.
- Мониторить даркнет. Большинство PhaaS-платформ рекламируются открыто — EvilProxy, Tycoon 2FA, VoidProxy, Kali365, EvilTokens. Если ваш домен или ключевые сотрудники фигурируют в таких объявлениях, считайте, что атака уже готовится.
Эпилог
Двухфакторная аутентификация работает. Она отсекает 99% примитивных атак на перебор паролей. Но оставшийся 1% — это профессиональные, финансируемые группировки с AI-инфраструктурой и бюджетами на PhaaS-подписки от 100 до 1000 долларов в месяц.
У вас есть два пути. Либо убеждать себя, что с вами этого не случится, потому что у вас «крутая MFA». Либо признать, что эпоха простых решений закончилась, и строить защиту с учётом того, что ваш сессионный токен — главная цель номер один.
Выбор за вами. Но атакующие его уже сделали. И ваш MFA-код им не нужен — им нужен результат его ввода.
❤️ Поддержите автора Донатом — это лучший способ сказать спасибо всей команде IT Extra. Ваша поддержка очень вдохновляет нас на создание интересного и качественного контента!
👍 Ставьте лайки если хотите разбор других интересных тем.
👉 Подписывайся на IT Extra на Дзен чтобы не пропустить следующие статьи
Если вам интересно копать глубже, разбирать реальные кейсы и получать знания, которых нет в открытом доступе — вам в IT Extra Premium. Это — ваш личный доступ к экспертизе, упакованной в понятный формат. Не просто теория, а инструменты для роста.
👉 Переходите на Premium и начните читать то, о чем другие только догадываются.