SMS-коды — это новое '12345': почему ваша двухфакторка просто притворяется защитой

Несмотря на активное внедрение многофакторной аутентификации (MFA), киберпреступники научились обходить её с помощью всё более изощрённых методов. Один из них — атаки типа «противник посередине» (Adversary-in-the-Middle, AiTM), которые особенно эффективно реализуются через обратные прокси-серверы. Эти атаки позволяют перехватывать не только логины и пароли, но и сессионные cookies, открывая злоумышленникам путь в защищённые аккаунты, даже если включена MFA.

Популярность этого метода подкрепляется удобством: благодаря наборам инструментов «Фишинг как услуга» (Phishing-as-a-Service, PhaaS) вроде Tycoon 2FA, Evilproxy, Rockstar 2FA и других, даже неспециалисты могут запустить такую кампанию. Разработчики этих комплектов постоянно обновляют их, добавляя функции обхода защитных механизмов, маскировки трафика и сбора дополнительных данных. Например, инструменты ограничивают доступ к фишинговым страницам только по точной ссылке, используют фильтрацию по IP-адресу и User-Agent, внедряют динамически обфусцированный JavaScript и задерживают активацию ссылок, чтобы обойти защиту на стороне почтовых сервисов.

Фишинговые прокси работают по схеме: пользователь переходит по ссылке, указывает логин и пароль, а затем подтверждает MFA. Всё это происходит на настоящем сайте — просто через прокси-сервер атакующего. После успешной аутентификации сайт выдаёт сессионную cookie, которую перехватывает злоумышленник. В его руках оказывается полный доступ к учётной записи. Некоторые атакующие тут же добавляют своё MFA-устройство в профиль жертвы, чтобы сохранить доступ и после окончания текущей сессии.

Особо выделяется инструмент Evilginx — изначально созданный как средство для тестирования проникновения, он стал де-факто стандартом для AiTM-атак. Его популярности способствуют открытый исходный код, гибкость и удобство. Однако защитники могут использовать его характерные признаки для выявления атак: свежезарегистрированные домены, URL с 8-символьными путями, сертификаты от Let's Encrypt с подозрительными названиями, а также расхождения в IP-адресах и User-Agent у одного и того же сессионного cookie.

Противостоять таким обходам MFA становится всё сложнее, особенно если организация использует устаревшие методы подтверждения входа, вроде одноразовых кодов по SMS. Именно поэтому всё больше специалистов обращают внимание на WebAuthn — стандарт безпарольной аутентификации, разработанный консорциумами FIDO и W3C.

WebAuthn использует пару криптографических ключей: приватный хранится на устройстве пользователя, а публичный — на сервере. При входе на сайт сервер отправляет challenge, который подписывается устройством, после чего сервер сверяет подпись с публичным ключом. Пароли при этом не передаются и не хранятся — а значит, перехватить их невозможно.

Ключевое преимущество WebAuthn — привязка к домену. Даже если пользователь перейдёт на фишинговый сайт, процесс аутентификации не сработает, так как домен не совпадёт с оригинальным. Это делает невозможными не только AiTM-атаки, но и повторное использование учётных данных на других ресурсах.

Тем не менее, несмотря на очевидные плюсы, WebAuthn пока не стал стандартом в индустрии. По данным Cisco Duo, за последние полгода его используют лишь единичные пользователи. Причиной может быть инерция компаний, уже внедривших другие типы MFA. Однако с ростом числа атак через обратные прокси пересмотр стратегии аутентификации становится необходимым.