Когда дело доходит до цифровой безопасности, настоятельно рекомендуется установить дополнительный уровень безопасности для учетных записей. Идея этого подхода, известного как многофакторная аутентификация (MFA), заключается в том, чтобы гарантировать, что злоумышленнику придется пройти второй уровень проверки, чтобы войти в учетную запись, даже если ему удалось получить ваш пароль. Этот вторичный уровень аутентификации может представлять собой SMS с одноразовым паролем, электронное письмо безопасности, локальный ключ доступа, биометрическое сканирование или даже физический ключ безопасности. Исследования Microsoft показывают, что MFA может снизить вероятность взлома учетной записи на 99,22% в целом и на 98,56%, если учетные данные для входа были получены.
Однако похоже, что MFA не является надежным решением, и в нескольких случаях хакерам удавалось его обойти. Например, в декабре 2025 года эксперты по безопасности Infoblox были уведомлены о том, что злоумышленники нацелены на академические учреждения. В частности, хакеры атаковали портал единого входа для студентов учебного заведения, используя вектор с открытым исходным кодом под названием Evilginx.
Evilginx — это инструмент фишинга, который по сути использует маршрут «человек посередине» (MITM), где злоумышленник может перехватить связь между устройством пользователя и службой, к которой он пытается получить доступ. Это трюк подслушивания, который позволяет хакерам украсть все, от учетных данных для входа в систему до финансовой информации, и эти хакеры, очевидно, использовали его против 18 учреждений только в 2025 году. Печально известный взлом Equifax в 2017 году представлял собой атаку MITM, в результате которой были раскрыты данные более 150 миллионов клиентов, и даже такие технологические гиганты, как Tesla, подверглись атаке с использованием той же тактики.
Стоит ли вам беспокоиться?
В 2024 году эксперты Abnormal.ai рассказали, как злоумышленники использовали Evilginx для атак на широко используемые сервисы, такие как Outlook и Gmail. Одним из наиболее опасных элементов Evilginx является то, что он имеет открытый исходный код, что делает его широко доступным и открытым для модификации хакерами. Один из целевых потоков включает в себя подмену банковского сайта, что позволяет хакерам перехватывать файлы cookie сеанса. После получения они могут использовать учетные данные для входа в систему, чтобы выдать себя за жертву на реальном веб-сайте банка.
Но Evilginx — не единственная угроза многофакторной аутентификации. Есть менее изощренные способы его сломать. Социальная инженерия (также известная как фишинг), когда злоумышленник подделывает законный сервис, чтобы заставить пользователей поделиться конфиденциальными данными для входа, в наши дни довольно распространена. Замена SIM-карты также может быть эффективным способом взлома MFA, особенно если ваш многофакторный код приходит через SMS или телефонный звонок. Также существует риск того, что хакеры могут установить скиммерное устройство для кражи отпечатков пальцев с машин, которым требуется биометрическая разблокировка для обработки платежей или проверки личности.
Итак, как можно оставаться в безопасности в эпоху, когда MFA можно обойти? Что ж, эксперты Experian рекомендуют использовать приложение-менеджер паролей или физический ключ, сертифицированный FIDO (например, Google Titan или предлагаемый Yubico). По данным Агентства кибербезопасности и безопасности инфраструктуры правительства США, «единственной широко доступной системой аутентификации, устойчивой к фишингу, является FIDO/WebAuthn». Таким образом, если о физическом ключе безопасности на основе FIDO не может быть и речи, вам придется использовать решение WebAuthn, например ключ доступа. К счастью, такие компании, как Google, Microsoft и Apple, внедрили ключи доступа, что упрощает внедрение.
