Нажмите цифру 3, чтобы вас обокрали. Ваша супернадёжная двухфакторка — больше не преграда для хакеров

Атаки с использованием социальной инженерии продолжают развиваться — теперь злоумышленники используют голосовые звонки в сочетании с динамическими фишинговыми наборами, которые позволяют в реальном времени управлять действиями жертвы в браузере. Об этом сообщает команда Okta Threat Intelligence, которая проанализировала новые инструменты, доступные по модели «как услуга» и активно используемые при атаках на пользователей Google, Microsoft, Okta и криптовалютных платформ.

Главной особенностью этих решений стало то, что они адаптируются под сценарии общения в процессе звонка. Пока один из участников атаки ведёт беседу с целью убедить жертву выполнить нужные действия, другой управляет содержимым страницы, открытой у пользователя в браузере. Всё это позволяет синхронизировать голосовые инструкции с отображаемыми страницами и усиливает эффект доверия, особенно в момент прохождения многофакторной аутентификации.

Такие комплекты могут перехватывать учётные данные и одновременно демонстрировать интерфейсы, имитирующие официальные страницы. Это помогает убедить пользователя, что происходит легитимный процесс — например, сброс пароля или проверка активности. Всё выглядит правдоподобно, так как фишинговый сайт мгновенно подстраивается под этап аутентификации, на котором находится злоумышленник, вошедший от имени жертвы на настоящем сайте.

Сценарий атаки выглядит следующим образом: сначала собирается информация о цели, включая используемые приложения и контакты службы поддержки. Затем настраивается фишинговая страница, и начинается звонок — номер при этом подделывается под корпоративный. Жертву убеждают открыть нужный сайт и ввести логин с паролем.

Эти данные сразу передаются в закрытый канал, где ими пользуется второй участник атаки. В зависимости от типа запрошенной MFA, фишинговая страница оперативно обновляется, предлагая пользователю подтвердить вход через push-уведомление или ввести код. Всё это сопровождается голосовыми инструкциями, что делает обман особенно убедительным.

Как отмечают специалисты, даже методы MFA с выбором числа в push-уведомлении не являются защитой — злоумышленник просто просит жертву выбрать нужное число. В то же время такие способы, как Okta FastPass или FIDO-ключи, защищены от подобных атак.

Наблюдается тренд на создание всё более узкоспециализированных решений: новые панели создаются не универсальными, а под конкретные сервисы. В дополнение к этому набирает популярность торговля не только самими наборами, но и навыками голосового обмана — теперь доступ к «операторам» также продаётся.

Для защиты от подобных атак специалисты рекомендуют внедрять методы аутентификации, устойчивые к фишингу, особенно в корпоративной среде. Если используется Okta, желательно подключить сразу несколько механизмов защиты. Также полезно ограничивать доступ по сетевым зонам и создавать списки разрешённых IP-адресов, исключая подключение через анонимайзеры.

Отдельные финансовые организации экспериментируют с функцией проверки звонков в мобильных приложениях — пользователь может убедиться, действительно ли с ним говорит представитель компании.

По данным Okta, эта тактика активно развивается и уже используется в реальных атаках. Аналитики компании ранее выпускали предупреждения по теме в апреле 2025 года и январе 2026 года. В них содержатся технические детали, индикаторы компрометации и рекомендации по защите.