Исследователи Push Security разобрали новую фишинговую схему Sneaky2FA, которая показывает, насколько быстро эволюционируют атаки на двухфакторную аутентификацию.
По их данным, злоумышленники создали фальшивую страницу входа, визуально не отличимую от оригинала, и встроили в неё механизм, который автоматически перехватывает одноразовые коды и использует их до истечения срока действия.
По структуре атака выглядит классической: жертва открывает ссылку, вводит логин и пароль, а дальше начинается главное. Как только пароль отправлен, фишинговая страница сразу пересылает его атакующим, проводя «живую» попытку входа на реальный сервис. Сервис запрашивает 2FA, и фальшивая страница мгновенно отображает пользователю окно ввода одноразового кода.
По словам экспертов, ключевое отличие Sneaky2FA от предыдущих схем - высокая степень автоматизации. Фишинговая страница работает почти как прокси: она синхронизирует этапы входа так точно, что жертва не замечает никакой разницы. Исследователи подчеркнули, что это делает атаку особенно опасной для корпоративных аккаунтов: доступ к почте, облачным сервисам и административным панелям может быть получен в течение секунд.
Анализ HTML и JavaScript фишинговой страницы показал несколько характерных признаков.
Во-первых, используется динамическая подгрузка интерфейса, что позволяет легко «перекрашивать» страницу под разные бренды.
Во-вторых, код содержит функции прямой пересылки введённых данных на внешние серверы, а также механизмы временной синхронизации, необходимые для работы с одноразовыми токенами.
Во-третьих, домены, на которых размещаются страницы, живут недолго - их создают под конкретную кампанию и быстро сменяют, чтобы усложнить выявление.
С точки зрения защиты эксперты обращают внимание, что традиционные SMS-коды и генераторы одноразовых паролей становятся всё менее устойчивыми в условиях подобных атак. Push Security рекомендует компаниям и частным пользователям переходить на аппаратные ключи FIDO2 или Passkeys - они строят процесс аутентификации таким образом, что перехватить секреты технически невозможно. Дополнительно советуется внедрять фильтры URL, политики доменной валидации и мониторинг фишинговых страниц, которые используют корпоративный бренд.
Исследователи отмечают: Sneaky2FA - показатель того, что злоумышленники активно внедряют автоматизацию, стараясь максимально приблизить фишинг к реальному пользовательскому опыту. Это означает, что компаниям необходимо повышать порог защиты и уделять внимание технологиям, которые не зависят от кодов и токенов, легко перехватываемых в подобных схемах.
Источник
По их данным, злоумышленники создали фальшивую страницу входа, визуально не отличимую от оригинала, и встроили в неё механизм, который автоматически перехватывает одноразовые коды и использует их до истечения срока действия.
По структуре атака выглядит классической: жертва открывает ссылку, вводит логин и пароль, а дальше начинается главное. Как только пароль отправлен, фишинговая страница сразу пересылает его атакующим, проводя «живую» попытку входа на реальный сервис. Сервис запрашивает 2FA, и фальшивая страница мгновенно отображает пользователю окно ввода одноразового кода.
По словам экспертов, ключевое отличие Sneaky2FA от предыдущих схем - высокая степень автоматизации. Фишинговая страница работает почти как прокси: она синхронизирует этапы входа так точно, что жертва не замечает никакой разницы. Исследователи подчеркнули, что это делает атаку особенно опасной для корпоративных аккаунтов: доступ к почте, облачным сервисам и административным панелям может быть получен в течение секунд.
Анализ HTML и JavaScript фишинговой страницы показал несколько характерных признаков.
Во-первых, используется динамическая подгрузка интерфейса, что позволяет легко «перекрашивать» страницу под разные бренды.
Во-вторых, код содержит функции прямой пересылки введённых данных на внешние серверы, а также механизмы временной синхронизации, необходимые для работы с одноразовыми токенами.
Во-третьих, домены, на которых размещаются страницы, живут недолго - их создают под конкретную кампанию и быстро сменяют, чтобы усложнить выявление.
С точки зрения защиты эксперты обращают внимание, что традиционные SMS-коды и генераторы одноразовых паролей становятся всё менее устойчивыми в условиях подобных атак. Push Security рекомендует компаниям и частным пользователям переходить на аппаратные ключи FIDO2 или Passkeys - они строят процесс аутентификации таким образом, что перехватить секреты технически невозможно. Дополнительно советуется внедрять фильтры URL, политики доменной валидации и мониторинг фишинговых страниц, которые используют корпоративный бренд.
Исследователи отмечают: Sneaky2FA - показатель того, что злоумышленники активно внедряют автоматизацию, стараясь максимально приблизить фишинг к реальному пользовательскому опыту. Это означает, что компаниям необходимо повышать порог защиты и уделять внимание технологиям, которые не зависят от кодов и токенов, легко перехватываемых в подобных схемах.
Источник
