Злоумышленнику не нужно ломать криптографию, чтобы обойти многофакторную аутентификацию (MFA). Достаточно запустить серию пуш-уведомлений, дождаться пока сотрудник устанет и нажмет «Подтвердить» или перехватить сессионный токен через прокси-сервер. Разберем способы выстроить защиту, при которой фишинг и перехват сессий не будут угрозой.
В этой статье:
Как обходят MFA: психология и архитектура
Три столпа MFA — фактор знания (пароль), фактор владения (устройство) и фактор неотъемлемости — уязвимы каждый по-своему. Пароли крадут, коды перехватывают, а неотъемлемый признак, например биометрический шаблон, в случае утечки невозможно заменить. Но самое слабое звено — человек.
MFA fatigue, или атака усталостью
Злоумышленник получает пару логин-пароль через утечку данных или фишинговую кампанию. Далее он не пытается подобрать одноразовый код, а запускает серию пуш-уведомлений на устройство жертвы. Запросы приходят непрерывно, часто в нерабочее время. Расчет на то, что человек нажмет кнопку «Подтвердить», чтобы остановить поток оповещений, или машинально примет вредоносный запрос за служебный.
После нескольких десятков повторов бдительность притупляется даже у подготовленных пользователей. Система фиксирует успешное предъявление второго фактора и предоставляет доступ. Эффективная защита от fatigue-атак находится не на стороне пользователя, а в ограничении числа попыток подтверждения и замене пуш-уведомлений на механизмы, не требующие реакции человека.
SIM swap и перехват сессий: когда MFA не видит подмены
SIM swap — это атака с использованием социальной инженерии, при которой злоумышленник обманом заставляет оператора связи перенести номер жертвы на SIM-карту, находящуюся под его контролем. После активации дубликата все SMS с проверочными кодами поступают атакующему. Двухфакторная аутентификация через текстовые сообщения полностью теряет смысл: второй фактор оказывается под контролем постороннего. Владелец номера замечает только потерю сигнала. Двухфакторная аутентификация через текстовые сообщения полностью теряет смысл: второй фактор оказывается под контролем постороннего. Владелец номера замечает только потерю сигнала.
Перехват сессий работает иначе. После успешного входа браузер получает сессионный токен. Если злоумышленник крадет этот токен — через вредоносное расширение, эксплуатацию уязвимости на веб-ресурсе или прокси-сервер — он воспроизводит сессию на собственной машине. Дополнительная проверка не требуется, так как система считает сессию уже аутентифицированной.
Evilginx и прокси-атаки: MFA проходит сквозь зеркало
Evilginx — инструмент класса «человек посередине», разворачивающий прокси-сервер между жертвой и легитимным сервисом. Пользователь попадает на фишинговую страницу, которая внешне неотличима от настоящей, вводит логин, пароль и одноразовый код. Прокси передает эти данные подлинному сайту в реальном времени. Сервер возвращает сессионный cookie, и инструмент перехватывает его до того, как cookie достигнет браузера жертвы.
Пользователь видит успешный вход в систему. Злоумышленник в этот момент уже обладает активной сессией. Техника обходит не только TOTP-коды, но и аппаратные токены, если они не привязаны к конкретному каналу аутентификации.
TOTP-коды: 30 секунд на перехват
Одноразовые пароли, генерируемые приложениями-аутентификаторами на основе времени, уязвимы к фишингу в реальном времени. Скрипт на поддельной странице мгновенно передает введенный код настоящему серверу. Интервал действия кода в 30 секунд дает автоматике достаточный запас для успешного входа. Жертва не замечает компрометации.
Дополнительный риск — утечка секретного ключа, на основе которого генерируются коды. Если резервная копия токенов хранится в облачном сервисе или на устройстве присутствует вредоносное ПО, злоумышленник получает возможность самостоятельно создавать одноразовые пароли без участия владельца.
Социальная инженерия: звонок продуктивнее взлома
Сложные технические сценарии избыточны там, где регламент восстановления доступа недостаточно проработан. Звонок в службу поддержки под видом сотрудника с просьбой сбросить второй фактор или зарегистрировать новое устройство способен свести на нет всю эшелонированную защиту. Данные для ответа на проверочные вопросы часто извлекаются из открытых источников: социальных сетей, утекших баз, публичных профилей. MFA обходится без единой строки вредоносного кода.
Что приходит на смену MFA: защита, не зависящая от бдительности
Методы, которые развиваются сейчас, решают главную слабость традиционной многофакторной аутентификации: результат аутентификации перестает опираться на решение пользователя. Новые подходы или делают фишинг технически невозможным, или оценивают контекст входа, не требуя от человека дополнительных подтверждений.
Беспарольная аутентификация: устранение главной мишени
Отказ от паролей как первого фактора перекрывает сразу несколько классов атак:
- кражу учетных данных,
- повторное использование скомпрометированных паролей
- автоматизированный подбор.
В беспарольной модели пользователь подтверждает вход с помощью криптографической пары ключей. Закрытый ключ не покидает устройство, сервер проверяет подпись открытым ключом. Даже если злоумышленник перехватит сессионный токен, использовать его для доступа без повторной аутентификации на том же устройстве не получится.
FIDO2 и ключи доступа: фишинг бессилен
Стандарт FIDO2, реализованный в том числе через ключи доступа (passkeys), привязывает процесс аутентификации к конкретному домену-источнику. Браузер или операционная система не предоставят ключ фишинговому сайту, потому что домен не совпадает с тем, для которого ключ был создан изначально. Пользователь может ввести данные на поддельной странице, но криптографическую подпись злоумышленник не получит.
Ключи доступа синхронизируются между устройствами пользователя через облачные сервисы производителей платформ. Это упрощает повседневную работу, не снижая криптографической стойкости. В корпоративных средах passkeys выпускаются централизованно и привязываются к аппаратным модулям безопасности, что исключает неконтролируемую утечку ключевого материала за периметр компании.
Фишинг-устойчивая аутентификация: привязка к каналу и проверка намерения
Устойчивость к фишингу обеспечивается не дополнительным фактором, а двумя архитектурными принципами: привязкой к каналу взаимодействия и проверкой намерения пользователя. Протокол WebAuthn требует, чтобы человек физически взаимодействовал с устройством — коснулся токена, ввел PIN-код или прошел биометрическую верификацию на самом устройстве. Удаленно имитировать такое подтверждение невозможно.
Сессионные cookie в подобной архитектуре, как правило, имеют короткое время жизни и жёстко ассоциированы с конкретным устройством и сеансом. Это затрудняет их повторное использование даже в случае перехвата.
Адаптивная аутентификация: решение на основе контекста
Вместо бинарной логики «доступ разрешен или запрещен» система оценивает контекст попытки входа и принимает решение, исходя из уровня риска. Пользователя не беспокоят дополнительными запросами, если текущие условия не вызывают подозрений.
Оценка рисков при входе: какие параметры анализируются
Адаптивная система собирает множество параметров: географическое положение, сведения об устройстве и операционной системе, время суток, привычный рабочий график сотрудника, а также поведенческие характеристики — скорость набора текста, характер движений мыши. Когда контекст укладывается в нормальный для этого пользователя профиль, дополнительный фактор не запрашивается.
Отклонение от шаблона — например, вход из другой страны через час после завершения предыдущей сессии — повышает оценку риска, и система требует дополнительное подтверждение: биометрическую верификацию, аппаратный токен или временно блокирует доступ.
Такой подход одновременно снижает трение для легитимных пользователей и нейтрализует попытки входа с украденными паролями: злоумышленник не способен воспроизвести типичное поведенческое окружение жертвы.
Интеграция в существующую инфраструктуру
Адаптивная аутентификация разворачивается как надстройка над действующими решениями поставщиков идентификации (IdP) или как самостоятельный сервис. Политики определяются не жестким требованием всегда запрашивать второй фактор, а правилами, учитывающими контекст: например, не требовать дополнительного подтверждения, если устройство состоит в корпоративном домене, геопозиция совпадает с офисом и время входа рабочее.
При подозрительных событиях система инициирует повторную проверку сессии или запрашивает подтверждение по стандарту FIDO2. Интеграция с корпоративными приложениями выполняется через стандартные протоколы SAML и OIDC.
Пример комплексного подхода — Контур.Коннект. Это кросс-платформенное решение, объединяющее VPN-стек, MFA и централизованное управление политиками. Оно рассчитано на крупный бизнес с распределенными командами и может использовать ID как источник MFA, создавая единую экосистему.
Коннект от Контур.Эгиды
Организуйте безопасный и удобный доступ к рабочим ресурсам компании из любой точки мира.
Zero Trust: проверка не на входе, а постоянно
Модель Zero Trust исходит из принципа, что доверие не предоставляется по умолчанию ни одному устройству и ни одному сеансу. Каждый запрос на доступ к ресурсу проходит отдельную проверку, независимо от того, была ли уже пройдена аутентификация.
Реализация на предприятии
После первичной аутентификации пользователь не получает неограниченного доступа ко всем системам. Каждый последующий запрос к приложению или данным оценивается заново: действительна ли текущая сессия, не изменились ли параметры окружения, соответствует ли уровень риска установленной политике. Если в середине сеанса устройство теряет корпоративный сертификат или его геопозиция резко меняется, доступ немедленно отзывается. Привилегии при этом разграничиваются вплоть до конкретных операций, а не только на уровне приложений.
Поведенческая биометрия: фоновая проверка вместо действий пользователя
Поведенческая биометрия позволяет реализовать непрерывную аутентификацию без видимого участия человека. Система анализирует параметры, уникальные для каждого оператора: клавиатурный почерк, динамику перемещения мыши, характерные паттерны взаимодействия с интерфейсом. Когда накопленные отклонения от эталонного профиля достигают порогового значения, система фиксирует риск подмены и реагирует — вплоть до принудительного завершения сессии.
При этом точность срабатывания не абсолютна: поведение человека меняется под влиянием усталости, стресса, болезни или при смене устройства. Поэтому поведенческую биометрию применяют не изолированно, а в сочетании с другими факторами — как дополнительный эшелон защиты, работающий в фоновом режиме и не отвлекающий пользователя.
Биометрия и искусственный интеллект: новые риски
Биометрические факторы обеспечивают надежную привязку к человеку, но привносят угрозы, не свойственные одноразовым кодам и токенам. Искусственный интеллект усиливает анализ, однако сам становится мишенью для дипфейков и атак генеративного характера.
Биометрическая аутентификация: почему утечка шаблона необратима
Отпечатки пальцев, геометрия лица и радужная оболочка глаза — это не секрет, который можно сменить при компрометации. Утечка биометрического шаблона означает пожизненный риск: скомпрометированный признак остается действительным навсегда. Сканеры, встроенные в пользовательские устройства, различаются по стойкости: недорогие датчики можно ввести в заблуждение с помощью качественного муляжа.
В корпоративных системах биометрические данные должны храниться в изолированных анклавах и никогда не покидать устройство в исходном виде. Проверка выполняется локально, а сервер получает исключительно криптографическое подтверждение успешного сопоставления.
Подтверждение присутствия: защита от муляжей и масок
Технология подтверждения присутствия (liveness detection) проверяет, что перед камерой находится реальный человек, а не фотография, видео или трехмерная имитация. Активные методы просят пользователя совершить действие — моргнуть, повернуть голову или произнести случайную фразу. Пассивные анализируют микродвижения, текстуру кожи и отражение света, не требуя участия человека. Это обязательный компонент любой биометрической системы, которая претендует на устойчивость к подделке.
Искусственный интеллект в аутентификации: гонка вооружений
Модели машинного обучения позволяют быстрее и точнее анализировать контекст входа и поведенческие аномалии. Одновременно злоумышленники применяют генеративные технологии для создания дипфейков, способных обмануть системы подтверждения присутствия. Поэтому искусственный интеллект в защите должен работать в паре с криптографическими механизмами: даже безупречная подделка голоса или лица не обеспечит доступ без аппаратного ключа, который злоумышленник не контролирует.
Что делать сегодня: план перехода
Современные методы не исключают друг друга, а дополняют. Ключи доступа закрывают проблему фишинга, адаптивная аутентификация упрощает вход для пользователя, Zero Trust защищает сессию после входа. Архитектура выстраивается поэтапно.
Децентрализованная идентичность: контроль возвращается владельцу
Концепция децентрализованной идентичности (Self-Sovereign Identity, SSI) переносит управление учётными данными на сторону организации или пользователя. Компания выпускает верифицируемые цифровые удостоверения, которые сотрудник предъявляет при доступе к ресурсам, не раскрывая избыточной информации.
Например, для работы с тендерной документацией достаточно подтвердить должность и право доступа — паспортные данные или личный номер телефона остаются скрытыми. Такой подход снижает зависимость от единого провайдера идентификации и уменьшает масштаб последствий при компрометации центрального хранилища.
Сравнение методов: плюсы и минусы
| Метод | Устойчивость к фишингу | Удобство | Зависимость от устройства |
|---|---|---|---|
|
SMS-коды |
Низкая |
Среднее |
SIM-карта |
|
TOTP-приложения |
Низкая |
Высокое |
Смартфон |
|
Push-уведомления |
Низкая |
Высокое |
Смартфон |
|
Аппаратные ключи FIDO2 |
Высокая |
Среднее |
USB/NFC-токен |
|
Passkeys |
Высокая |
Высокое |
Устройство с биометрией |
|
Адаптивная аутентификация |
Зависит от факторов |
Очень высокое |
Контекстная система |
|
Поведенческая биометрия |
Высокая |
Очень высокое |
Не требует дополнительных действий |
Каждый метод решает свою задачу, однозначного лидера в таблице нет. Поэтому современные системы сочетают несколько подходов одновременно.
Как выстроить новую архитектуру доступа без остановки бизнеса
Переход от статической MFA к адаптивной и фишинг-устойчивой архитектуре не требует единовременной замены всех систем. Новые методы вводятся поэтапно и работают параллельно с существующими, поэтому текущие процессы не прерываются, а пользователи адаптируются постепенно.
- Аудит и устранение самых ненадежных методов. Первым делом проводят инвентаризацию всех способов входа, используемых в компании: где применяются SMS-коды, где — пуш-уведомления, где — аппаратные токены. Самые уязвимые каналы — SMS и пуш — заменяют в первую очередь, начиная с критичных систем: финансы, инфраструктура, доступ к персональным данным. На их место встают FIDO2-токены или passkeys. Параллельно с новыми методами какое-то время продолжают действовать старые — это дает сотрудникам привыкнуть к ключам доступа.
- Внедрение адаптивных политик. Когда первичная замена отработана, поверх действующих систем вводится адаптивный слой. Вместо жесткого требования всегда предъявлять второй фактор настраиваются правила, учитывающие контекст. Например: если сотрудник входит с корпоративного устройства из офиса в рабочее время, дополнительное подтверждение не требуется. При отклонении от нормы система автоматически повышает требования. Это снижает трение для пользователей и одновременно перекрывает сценарии входа с украденными учетными данными.
- Подключение поведенческой аналитики. Завершающий этап — непрерывная верификация сессий через поведенческую биометрию. Система в фоновом режиме анализирует, как человек взаимодействует с интерфейсом, и сравнивает с эталонным профилем. Если за устройством начинает работать другой оператор, сессия блокируется до того, как будут выполнены несанкционированные действия. Пользователь при этом не отвлекается на дополнительные проверки.
Поэтапный подход позволяет пройти весь путь — от замены SMS до непрерывной аутентификации — за несколько месяцев, не останавливая бизнес и не вызывая сопротивления сотрудников. После завершения перехода архитектура доступа больше не зависит от бдительности человека и устойчива к основным техникам обхода MFA.
Вывод
Одноразовые коды и push-уведомления больше не гарантируют безопасность входа — злоумышленники обходят их без взлома криптографии. Защита, устойчивая к фишингу и перехвату сессий, строится на трех принципах: отказ от паролей и переход на passkeys, адаптивная оценка рисков при каждой попытке входа и непрерывная проверка сессии в фоновом режиме.
Начать можно с инвентаризации текущих методов аутентификации и замены SMS на ключи доступа в критичных системах. Затем вводятся адаптивные политики, которые снижают частоту принудительных подтверждений, и подключается поведенческая аналитика. Все этапы разворачиваются в существующей инфраструктуре, не требуя замены ключевых приложений и не останавливая бизнес-процессы.
Поэтапный переход на фишинг-устойчивую аутентификацию не требует замены ключевых бизнес-систем. Контур.Эгида объединяет FIDO2, адаптивные политики и поведенческий анализ — всё это можно развернуть в существующей инфраструктуре.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.