Microsoft опубликовала подробное исследование угроз Adversary-in-the-Middle (AiTM) фишинговых атак, которые становятся всё более распространёнными из-за активного использования многофакторной аутентификации (MFA). Компания подчеркнула важность внедрения передовых методов защиты для предотвращения подобных угроз.
AiTM-фишинг представляет собой новый этап развития кибератак, где злоумышленники создают поддельные сайты, похищают данные учётных записей, включая MFA-коды, и используют их для входа в реальные сервисы. Это позволяет им получить токен, необходимый для доступа, минуя защитные механизмы MFA.
Microsoft предложила универсальное решение – переход на так называемые “фишинг-устойчивые” методы аутентификации, такие как Passkeys (ключи доступа). Эти методы используют криптографию, исключая возможность перехвата данных. Passkeys создаются для конкретных устройств, привязаны к уникальному URL и требуют подтверждения личности пользователя, например, через биометрию.
Для пользователей, которые пока не могут внедрить Passkeys, Microsoft рекомендует дополнительные меры защиты. Среди них – использование приложения Microsoft Authenticator с функциями геолокации и Number Matching, ограничение доступа через управляемые устройства, а также установка политик условного доступа с проверкой сетевых границ.
Кроме того, Microsoft советует внедрять технологии обнаружения аномалий, такие как Entra ID Protection и Microsoft Defender. Эти решения отслеживают подозрительную активность, например, попытки доступа с необычных IP-адресов или неожиданные запросы токенов. В случае выявления угрозы можно автоматически блокировать подозрительные сессии.
Для организаций, сталкивающихся с последствиями AiTM-атак, Microsoft предлагает инструменты для расследования и минимизации рисков, включая Microsoft Sentinel и Defender XDR. Они помогают анализировать инциденты, выявлять источники угроз и предотвращать дальнейшую утечку данных.
Специалисты Microsoft отмечают, что применение всех перечисленных мер значительно снижает вероятность успешных AiTM-атак, делая подобные методы взлома крайне сложными для реализации.