Коротко : яке відношення мають хакери-підлітки до атак MFA?
Відповідь може вас здивувати. Архетип молодого кмітливого хакера більше не обмежується голлівудськими сценаріями та кіноекранами – він став моторошно пророчим. Відповідно до 12 -го щорічного звіту Experian про порушення за 2025 рік , середній вік кіберзлочинців зараз становить 19 років (проти 37 для інших видів злочинів).
Доступність складних наборів для фішингу та автоматизованих інструментів ШІ зробила обхідні атаки MFA дедалі доступнішими для широкого кола зловмисників. Це стосується й підлітків-хакерів, яких часто недооцінюють, але вони можуть бути дуже наполегливими у своїх зусиллях.
У міру розвитку природи хакерства ризики зростають. Тож як ці хакери обходять MFA, чому вам потрібно про це турбуватися та що ви можете з цим зробити?
Трохи статистики
У січні 2025 року влада Іспанії заарештувала 18-річного хакера, відповідального за 40 кібератак на військових США та союзників по НАТО. Підліток зламав критичні бази даних і використав кілька інструментів, щоб залишатися прихованими.
Отже, як хакер-підліток зміг отримати доступ до конфіденційних військових активів, що належать найрозвиненішим державам світу?
Знову ж таки, відповідь може вас здивувати.
У 2023 році сервер електронної пошти уряду США, що містить посилання на Командування спеціальних операцій США (USSOCOM), виявився незахищеним. А в листопаді 2024 року конфіденційні дані майже 1,2 мільйона військовослужбовців США та Великобританії були розкриті в додатку для знайомств.
Що спільного у цих двох резонансних інциденті? Жодна з платформ не була захищена паролем і не ввімкнула MFA.
У цивільному світі дані 165 клієнтів Snowflake були розкриті у квітні 2024 року після того, як група хакерів використала вкрадені облікові дані для зламу їхніх облікових записів. Відсутність MFA також була вагомим фактором успіху атак.
Наведені вище історії підкреслюють важливість рішення для глибокого захисту, коли йдеться про захист критично конфіденційних даних. Але не всі рішення MFA однакові.
Типи багатофакторної автентифікації (MFA)
Спочатку поговоримо про різні типи MFA :
- MFA на основі SMS
Код або OTP (одноразовий пароль) надсилається на ваш зареєстрований мобільний телефон. Це код, який ви вводите на сторінці входу, щоб підтвердити свою особу. MFA на основі SMS є найменш безпечною формою MFA, оскільки згенеровані коди можуть бути перехоплені зловмисниками.
- MFA на основі електронної пошти
Це схоже на MFA на основі SMS — лише код або OTP надсилається на вашу зареєстровану електронну адресу.
- Програми автентифікації
Це включає такі програми, як Microsoft Authenticator і LastPass Authenticator . Додаток створює шестизначний код, який змінюється кожні 30 секунд. Це код, який ви введете на сторінці входу. Програма та веб-сайт, які ви відкриваєте, синхронізуються , що означає, що вони обидва «знають», яким має бути правильний код у будь-який момент часу.
- MFA на основі PKI
Картки CAC (загальні картки доступу) і PIV (підтвердження особи) є формами MFA на основі PKI. Доступ до державних інформаційних систем і федеральних будівель здійснюється на основі сертифікатів PKI і закритих ключів, які зберігаються на чіпі картки.
- Біометрична аутентифікація
Цей тип MFA використовує для автентифікації відбитки пальців, розпізнавання обличчя, розпізнавання голосу або сканування сітківки ока. Оскільки біометричні дані є унікальними для кожної людини, цим методом MFA хакерам важко маніпулювати.
- MFA на основі FIDO2 з криптографічними апаратними ключами або маркерами
Ці ключі або маркери є невеликими, легкими фізичними пристроями, окремими від пристроїв клієнта. MFA із підтримкою FIDO2 — це найнадійніша форма MFA, яку ви можете налаштувати для свого бізнесу, оскільки вона стійка до фішингу та виключає надсилання OTP через текстові повідомлення.
Як хакери обходять MFA: п’ять атак MFA, за якими ваш бізнес має стежити
Із зростанням кількості атак MFA стає зрозумілим одне: тип MFA, який ви використовуєте, має значення. Зловмисники використовують все більш витончені методи, щоб обійти традиційний захист MFA.
Ось п’ять найпоширеніших типів атак:
- Зміна симулятора
Цей тип атаки також відомий як викрадення SIM-карти, коли зловмисники обманом змушують мобільних операторів перенести ваш номер телефону на SIM-карту або eSIM, якими вони керують. Це дозволяє їм перехоплювати кожен MFA OTP (одноразовий пароль), який ви отримуєте на свій телефон. У першому кварталі 2025 року кількість атак із заміною SIM-карти зросла на 38%.
- Соціальна інженерія та фішинг
У 2025 році зловмисники використовують штучний інтелект для створення складних фішингових електронних листів, які дуже нагадують корпоративні аналоги. Нові методи соціальної інженерії включають вбудовування шкідливих QR-кодів у PDF-документи та використання Microsoft Teams для здійснення атак соціальної інженерії в реальному часі.
Мета полягає в тому, щоб відправити жертв на підроблену сторінку входу, де їм пропонується ввести своє ім’я користувача та пароль. Після того, як жертва введе ці облікові дані, їй буде запропоновано другий фактор автентифікації.
Коли всі фактори зібрані, зловмисник захопить обліковий запис жертви та закриє будь-який доступ.
- MFA – «напади втоми»
Цей тип атак MFA переповнює користувачів лавиною push-повідомлень MFA. Надсилаючи повторні запити MFA, зловмисники сподіваються, що користувачі схвалять один через розчарування – співробітники Twilio отримували спам із push-повідомленнями MFA у 2022 році.
Того ж року Uber визнав, що був зламаний підлітковою хакерською групою LAPSUS$ . Один із його членів (18-річний) надіслав схожі push-запити MFA підряднику Uber, який зрештою підтвердив автентичність одного з них. Це дало підлітку доступ до мережі Uber, де вони публікували вульгарні зображення на каналі Slack для всієї компанії. У 2023 році британський суд визнав 18-річного юнака винним у зламі Uber і завданні компанії збитків у майже 3 мільйони доларів.
- Атаки противника посередині
Цей тип атаки зазвичай починається з фішингового електронного листа, який перенаправляє нічого не підозрюючого користувача на підроблену сторінку входу, розміщену на шкідливому проксі-сервері. Після того, як користувач вводить ім’я користувача та пароль, проксі-сервер пересилає запит користувача на законний веб-сайт.
Потім він фіксує будь-які файли cookie сеансу, які отримує від цього веб-сайту. За допомогою викрадених файлів cookie зловмисник може обійти будь-який захист MFA, встановлений користувачем.
- IP-адреса або гео-білий список
Багато організацій вносять у білий список певні місця або IP-адреси, щоб дозволити схваленим користувачам обходити MFA. Це полегшує доступ для співробітників, які працюють з різних місць. Однак ця практика пов’язана з ризиком для безпеки: зловмисники можуть використовувати підробку місцезнаходження або служби VPN, щоб також пропустити вимогу MFA.
Простий, покроковий метод налаштування MFA для вашого бізнесу
Для початку потрібно визначити, які облікові записи необхідно захистити за допомогою MFA.
Далі потрібно вибрати тип MFA для розгортання. CISA рекомендує MFA на основі FIDO2 з апаратними ключами як золотий стандарт для MFA. Найкращі апаратні ключі на ринку включають YubiKey, Google Titan Security Key, HID Crescendo Key Series і Nitrokey Storage 2.
Ось загальний покроковий посібник із налаштування Yubikey на будь-якому веб-сайті, платформі чи додатку:
- Спочатку виберіть службу або платформу, сумісну з YubiKey.
- Далі увійдіть у свій обліковий запис і перейдіть до налаштувань безпеки.
- Знайдіть опцію додавання ключа безпеки та виберіть її.
- Коли буде запропоновано, вставте свій YubiKey у порт USB.
- Дотримуйтесь інструкцій на екрані, які можуть включати торкання сенсора або кнопки YubiKey.
- Після реєстрації вашого YubiKey веб-сайт підтвердить успішне налаштування.
Повторіть описані вище кроки для інших веб-сайтів, які ви хочете захистити за допомогою свого YubiKey. І все!
Потужні параметри LastPass MFA дозволяють вам перехитрити нове покоління хакерів
У той час як інші менеджери паролів обмежують ваші параметри MFA, LastPass пропонує вам широкий спектр постачальників MFA, які підтримують автентифікацію апаратного ключа. Наприклад, опція RSA SecurID Access працює з YubiKey, щоб забезпечити захист вашого бізнесу від фішингу.
Перегляньте список параметрів MFA, які підтримує LastPass:
- Аутентифікатор LastPass
- Google Authenticator
- Microsoft Authenticator
- Duo Security Authentication
- Багатофакторна автентифікація YubiKey
- Багатофакторна автентифікація RSA SecurID
- Symantec VIP
- Аутентифікація SecureAuth
LastPass забезпечує чудову безпеку, одночасно спрощуючи процес входу для вашого бізнесу.
У 2025 році G2 знову вибрала LastPass як найкращий вибір для керування паролями. І на цьому відзнаки не закінчуються: користувачі G2 дають LastPass високі оцінки як друге найпростіше програмне забезпечення для автентифікації без пароля, поступаючись лише Microsoft Entra ID.
Але в той час як Microsoft Entra ID орієнтований на великі підприємства, рішення LastPass MFA працюють для ВСІХ організацій, включаючи SMB.
Отже, якщо новітні атаки на основі MFA викликають у вас занепокоєння, не хвилюйтеся. Ви можете відчути той самий спокій, яким користуються мільйони клієнтів LastPass, отримавши безкоштовну пробну версію LastPass Business без жодних зобов’язань вже сьогодні. А придбати комерційну версію та підтримку LastPass можна через компанію Ідеалсофт.
