Многие пользователи считают двухфакторную аутентификацию (2FA) последним рубежом защиты аккаунта. Однако сегодня злоумышленники всё чаще обходят её не через технический взлом, а через самого человека. О том, как мошенники крадут аккаунты даже с 2FA и что делать при компрометации, интернет-газете «ЖУК» рассказал Дмитрий Мельников, руководитель группы внедрения Контур.Эгиды и Staffcop.
По словам эксперта, сегодня злоумышленники редко пытаются взломать сам механизм двухфакторной аутентификации. Главная мишень — сам пользователь. Один из самых популярных сценариев кражи — фишинг через сайты-прокси. Человек вводит логин, пароль и код на поддельной странице, а хакер в реальном времени передаёт эти данные настоящему сервису и получает доступ к сессии. В этом случае второй фактор не ломается технически — жертва подтверждает вход добровольно, думая, что авторизуется на официальном сайте.
Ещё одна серьёзная угроза — атаки через телефонные звонки. Пользователю могут позвонить якобы из службы безопасности банка или ИТ-отдела и убедить назвать код из СМС или нажать кнопку подтверждения в приложении. В корпоративной среде также встречается тактика MFA-бомбинга: хакер многократно отправляет запросы на подтверждение входа, надеясь, что уставший сотрудник случайно нажмёт «Разрешить».
Кроме того, вредоносные программы остаются эффективным инструментом. Вирусы крадут токены авторизации и файлы cookie уже после того, как пользователь успешно вошёл в систему. В этом случае злоумышленник получает доступ к действующей сессии и обходит двухфакторную защиту без повторного ввода кода.
Дмитрий Мельников подчеркнул, что устойчивость аккаунта зависит не только от наличия 2FA, но и от выбранного метода. Самыми надёжными сегодня считаются аппаратные ключи безопасности и приложения-аутентификаторы. СМС-коды, напротив, постепенно теряют свою эффективность.
«Двухфакторная аутентификация по-прежнему остаётся одним из самых эффективных способов защиты учётных записей, если злоумышленник получил пароль в результате утечки данных, второй фактор во многих случаях не позволит ему войти в систему. Однако сегодня модель атак изменилась. Эффективность 2FA во многом зависит не только от метода подтверждения входа, но и от общей архитектуры защиты аккаунта и бдительности самого пользователя», — объяснил Дмитрий Мельников.
Если пользователь подозревает, что аккаунт взломали, действовать нужно быстро. Первым делом эксперт советует сменить пароль с доверенного устройства и завершить все активные сеансы, чтобы принудительно выкинуть хакера из системы. Затем необходимо проверить, не изменены ли резервные email, телефон и способы восстановления доступа.
Особое внимание стоит уделить устройству: если причиной компрометации стал вирус, смена пароля не поможет — новые данные также будут перехвачены. В завершение стоит проанализировать историю входов и заменить этот же пароль во всех других сервисах, где он использовался.
«Если сервис поддерживает более защищённые способы аутентификации, имеет смысл перейти с СМС-кодов на приложение-аутентификатор или аппаратный ключ безопасности. Сегодня защита аккаунта — это уже не только вопрос наличия второго фактора, но и комплексного контроля за тем, кто, откуда и при каких обстоятельствах получает доступ к учётной записи», — добавил Дмитрий Мельников.
Киберпреступники постоянно адаптируют схемы и используют новые способы получения доступа к чужим данным и аккаунтам. Ранее интернет-газета «ЖУК» сообщала о схеме с поддельными сайтами АЗС, через которые злоумышленники под видом бронирования топлива пытаются получить доступ к аккаунтам Telegram.