Когда MFA бессильна: AiTM-фишинг становится всё популярнее у злоумышленников

Microsoft опубликовала подробное исследование угроз Adversary-in-the-Middle (AiTM) фишинговых атак, которые становятся всё более распространёнными из-за активного использования многофакторной аутентификации (MFA). Компания подчеркнула важность внедрения передовых методов защиты для предотвращения подобных угроз.

AiTM-фишинг представляет собой новый этап развития кибератак, где злоумышленники создают поддельные сайты, похищают данные учётных записей, включая MFA-коды, и используют их для входа в реальные сервисы. Это позволяет им получить токен, необходимый для доступа, минуя защитные механизмы MFA.

Microsoft предложила универсальное решение — переход на так называемые «фишинг-устойчивые» методы аутентификации, такие как Passkeys (ключи доступа). Эти методы используют криптографию, исключая возможность перехвата данных. Passkeys создаются для конкретных устройств, привязаны к уникальному URL и требуют подтверждения личности пользователя, например, через биометрию.

Для пользователей, которые пока не могут внедрить Passkeys, Microsoft рекомендует дополнительные меры защиты. Среди них — использование приложения Microsoft Authenticator с функциями геолокации и Number Matching, ограничение доступа через управляемые устройства, а также установка политик условного доступа с проверкой сетевых границ.

Кроме того, Microsoft советует внедрять технологии обнаружения аномалий, такие как Entra ID Protection и Microsoft Defender. Эти решения отслеживают подозрительную активность, например, попытки доступа с необычных IP-адресов или неожиданные запросы токенов. В случае выявления угрозы можно автоматически блокировать подозрительные сессии.

Для организаций, сталкивающихся с последствиями AiTM-атак, Microsoft предлагает инструменты для расследования и минимизации рисков, включая Microsoft Sentinel и Defender XDR. Они помогают анализировать инциденты, выявлять источники угроз и предотвращать дальнейшую утечку данных.

Специалисты Microsoft отмечают, что применение всех перечисленных мер значительно снижает вероятность успешных AiTM-атак, делая подобные методы взлома крайне сложными для реализации.