MFA – не панацея: как сделать «мультифакторку» по-настоящему безопасной?

Начнём с основ: что вообще такое «многофакторная аутентификация»?

MFA (Multi-Factor Authentication) или 2FA (Two-Factor Authentication) — как понятно из названия, аутентификация в какую-либо систему, когда помимо классического пароля вам необходимо указать дополнительную информацию, которой, в теории, должны обладать только вы. Такой информацией может быть как одноразовый пароль (OTP), отправленный на почту, по СМС или в виде Push-уведомления в приложении, так и одноразовый пароль на основе времени (TOTP), который регулярно обновляется в специальном мобильном приложении-аутентификаторе. Кроме того, биометрия или физический токен безопасности также может использоваться для работы MFA.

MFA — это общее название аутентификации с несколькими этапами, 2FA — аутентификация конкретно из двух этапов. А так как больше двух факторов защиты используется крайне редко, в быту эти термины часто взаимозаменяемые. В целом, настройка MFA в большинстве случаев действительно защитит вас от 99% злонамеренных попыток компрометации, особенно в паре с надёжным уникальным паролем, который нельзя подобрать при помощи брутфорса. Тем не менее, оставшийся 1% на успех хакеров — тоже крайне важен, так как именно о нём никто не думает до тех пор, пока не лишится своей «суперзащищённой» учётной записи.

Как злоумышленники могут обойти MFA?

Ниже мы рассмотрим популярные методы обхода многофакторной аутентификации злоумышленниками, реальные примеры их реализации и возможные способы защиты.

1. Фишинг и социальная инженерия

Фишинг — это вид кибератаки, при котором злоумышленники создают поддельные веб-сайты или направляют электронные письма, имитирующие законные сервисы или корпоративные запросы. Цель таких атак — украсть конфиденциальные данные, такие как пароли, данные кредитных карт или одноразовые коды аутентификации. Например, жертве может прийти электронное письмо, якобы от её банка или госуслуг, с просьбой подтвердить свои личные данные, перейдя по ссылке, которая ведёт на поддельный сайт. После перехода на сайт и ввода настоящих учётных данных в поддельную форму, злоумышленники инициируют автоматический вход в настоящий профиль жертвы, в связи с чем на её телефон приходит одноразовый пароль.Ввод этого одноразового пароля на фейковом сайте хакеров позволит последним заполучить доступ к учётной записи жертвы как минимум на один сеанс, чего зачастую может быть достаточно для выполнения целого ряда злонамеренных действий. В том случае, если единоразового входа мошенникам будет недостаточно, они уже подключают социальную инженерию, телефонные звонки и различные долгие схемы развода, которые, к сожалению, до сих пор работают на многих людях. Так, при большом желании и прокачанных навыках социальной инженерии, преступники и кредит на жертву могут взять, и её квартиру отписать другому человеку.

2. SIM Swapping

Атаки с заменой SIM-карты или же «SIM Swapping» заключается в том, что злоумышленник обращается в службу поддержки оператора мобильной связи и, предоставляя собранные заранее данные о жертве, убеждает оператора перенести номер телефона на новую SIM-карту, контролируемую самим злоумышленником. Зачастую подобные схемы проворачиваются благодаря «своему» сотруднику в компании, предоставляющей услуги связи. Всего один звонок — и нужный номер оказывается в лапах преступников. Разумеется, к такой схеме кибербандиты прибегают только в случаях крупного мошенничества, когда риск оправдан, и хакеры точно знают, что срубят большой куш. Захват чужой SIM-карты открывает злоумышленникам почти безграничный доступ к любым учётным записям жертвы, так как сейчас почти везде двухфакторная аутентификация реализуется через одноразовые SMS-пароли или звонки с последующим вводом последних цифр номера. Особое коварство данного способа взлома заключается в том, что жертва далеко не сразу поймёт, что её мобильный номер больше ей не принадлежит. Ей может успеть прийти SMS о переносе номера, но затем SIM-карта просто отключится, а связь пропадёт. Если SMS от провайдера связи жертва пропустит, то может по незнанию списать отсутствие связи на неполадки с сетью или смартфоном, а так как большинство бытовых операций сейчас проходит через Интернет, жертва может отложить решение этого вопроса, даже если быстро заметит отсутствие связи. Тем временем, у злоумышленника будет более чем достаточно времени для исполнения своего коварного плана, особенно учитывая то, что жертва лишена связи и для деактивации номера должна будет «сломя голову» нестись к оператору связи с паспортом, и долго доказывать, что номер вообще-то принадлежит ей, а вся её цифровая жизнь постепенно переходит под контроль хакеров. Данный способ атаки особенно эффективен в паре со следующим методом обхода MFA, который позволяет хакерам манипулировать любыми данными на смартфоне жертвы.

3. Вредоносное программное обеспечение

Последний метод, который мы рассмотрим в рамках этой статьи, подразумевает предварительную компрометацию смартфона или компьютера жертвы путём установки на него вредоносного ПО.

• Компьютерное вредоносное ПО

Если рассматривать компьютерное вредоносное ПО, тут помимо классических инфостилеров и кейлоггеров, способных обеспечить хакеров базовой связкой логин-пароль от вашего аккаунта, стоит также выделить программы для перехвата сессионных cookie-файлов, которые позволяют злоумышленникам войти на их компьютере в тот же сеанс, что и вы, без необходимости вводить ваш логин, пароль или OTP-код из MFA. Зачастую кражи сессионного cookie более чем достаточно для кражи конфиденциальных данных и подделки вашей личности, но всё ещё недостаточно для каких-либо сложных манипуляций с учётной записью, по типу смены пароля, или серьёзных действий в банковских сервисах. Защититься от компьютерного вредоносного ПО возможно с помощью надёжного антивируса и отказа от запуска и установки сомнительного программного обеспечения, скачанного из неизвестных источников, в особенности по ссылкам из сомнительных электронных писем.

• Мобильное вредоносное ПО

С мобильными вредоносами всё куда интереснее, так как они способны дать злоумышленникам максимум возможностей за счёт того, что именно смартфон обычно используется как второй фактор аутентификации. Мобильный шпионский софт может обладать самыми разными зловредными функциями, включая перехват SMS и Push-уведомлений, сокрытие или отображение ложных Push-уведомлений, кейлоггинг, создание скриншотов и видеозаписей экрана, трансляцию экрана в режиме реального времени и даже полный контроль смартфона, включая навигацию по любым элементам системы. Стоит отметить, что приложение с такого рода функционалом на Android установить куда проще, чем на iPhone. Хватит буквально пяти минут, если смартфоном жертвы удалось завладеть, зная при этом его пароль. Аналогичную схему, впрочем, можно провернуть и с iPhone, однако там в пару к паролю от смартфона наверняка понадобится и лэптоп с USB-кабелем, а также прилично больше времени. Самостоятельно, по глупости, установить сложное шпионское приложение на любой смартфон крайне проблематично, ибо на каждом этапе установки и выдачи разрешений система наверняка будет бить тревогу и кричать о том, что это небезопасно, а устанавливаемое приложение, скорее всего, вредоносное. На Android, например, для полноценного функционирования столь комплексного вредоносного софта наверняка потребуются права администратора устройства или доступ к специальным возможностям. Подобное обилие запросов и предупреждений даже самого неопытного пользователя определённо заставят задуматься: «А вдруг я делаю что-то не так?». Таким образом, установка зловредного ПО на мобильное устройство жертвы для хакеров является одним из самых сложных способов компрометации, однако именно она даёт максимальные результаты, позволяя не только перехватить любые одноразовые пароли для обхода многофакторной аутентификации, но и заполучить все нужные связки логинов и паролей жертв от любых учётных записей, исключая необходимость использования метода перебора. Защититься от мобильного вредоносного ПО возможно с помощью базовой цифровой гигиены и полного отказа от установки любых приложений из неофициальных источников, в особенности по ссылкам из сомнительных электронных писем и SMS.

Какой же наилучший вариант, чтобы обезопасить свои учётные записи?

Пожалуй, самым надёжным методом многофакторной аутентификации является использование специального TOTP приложения-аутентификатора на смартфоне, которое случайным образом генерирует одноразовые пароли через каждый заданный промежуток времени. Разумеется, такое приложение тоже должно быть защищено паролем, который ни в коем случае не должен совпадать с паролем экрана блокировки смартфона. Локальное приложение-аутентификатор автоматически защищено от атак со взломом электронной почты или переносом номера на другую SIM-карту, поэтому из возможных способов компрометации остаётся только вредоносное ПО. Причём ваш компьютер хакерам взломать будет куда проще, чем телефон, а значит за безопасностью компьютера следить стоит куда тщательнее. Что касается компрометации смартфона, использование iPhone с точки зрения безопасности будет предпочтительнее, просто по той причине, что зловредный софт на него установить в разы сложнее, чем на Android. Разумеется, при использовании приложения-аутентификатора желательно, чтобы смартфон был дополнительно защищён при помощи биометрии, так как тот же PIN-код можно банально подсмотреть, например, находясь за спиной жертвы в очереди на кассе супермаркета. Если более развёрнуто говорить о биометрии, на Android это должен быть исключительно отпечаток пальца, так как распознавание по лицу на этой платформе куда менее безопасное, чем Face ID на iPhone. Так, многие современные Android-смартфоны, особенно бюджетные, до сих пор можно разблокировать по фотографии владельца, когда как на устройствах Apple такое провернуть никак не получится. Не последней рекомендацией будет не оставлять свой смартфон или компьютер/ноутбук без присмотра, даже если они защищены сложным паролем и биометрией. Параллельно с этим стоит постоянно прокачивать собственную цифровую грамотность, чтобы сразу заметить, когда вас пытаются обмануть с целью завладеть вашими данными или доступом к вашему аккаунту. Будем надеяться, что эта статья внесла больше понимания о том, как злоумышленники могут обойти многофакторную аутентификацию и о том, как можно максимально сократить их шансы на успех, не дав свои данные в обиду.