Исследователи Push Security разобрали новую фишинговую схему Sneaky2FA, которая показывает, насколько быстро эволюционируют атаки на двухфакторную аутентификацию. По их данным, злоумышленники создали фальшивую страницу входа, визуально не отличимую от оригинала, и встроили в неё механизм, который автоматически перехватывает одноразовые коды и использует их до истечения срока действия.
По структуре атака выглядит классической: жертва открывает ссылку, вводит логин и пароль, а дальше начинается главное. Как только пароль отправлен, фишинговая страница сразу пересылает его атакующим, проводя «живую» попытку входа на реальный сервис. Сервис запрашивает 2FA, и фальшивая страница мгновенно отображает пользователю окно ввода одноразового кода. Когда жертва вводит SMS или код из генератора, злоумышленник тут же подставляет его в реальную форму, и аутентификация проходит успешно.
По словам экспертов, ключевое отличие Sneaky2FA от предыдущих схем - высокая степень автоматизации. Фишинговая страница работает почти как прокси: она синхронизирует этапы входа так точно, что жертва не замечает никакой разницы. Исследователи подчеркнули, что это делает атаку особенно опасной для корпоративных аккаунтов: доступ к почте, облачным сервисам и административным панелям может быть получен в течение секунд.
Анализ HTML и JavaScript фишинговой страницы показал несколько характерных признаков. Во-первых, используется динамическая подгрузка интерфейса, что позволяет легко «перекрашивать» страницу под разные бренды. Во-вторых, код содержит функции прямой пересылки введённых данных на внешние серверы, а также механизмы временной синхронизации, необходимые для работы с одноразовыми токенами. Во-третьих, домены, на которых размещаются страницы, живут недолго - их создают под конкретную кампанию и быстро сменяют, чтобы усложнить выявление.
С точки зрения защиты эксперты обращают внимание, что традиционные SMS-коды и генераторы одноразовых паролей становятся всё менее устойчивыми в условиях подобных атак. Push Security рекомендует компаниям и частным пользователям переходить на аппаратные ключи FIDO2 или Passkeys - они строят процесс аутентификации таким образом, что перехватить секреты технически невозможно. Дополнительно советуется внедрять фильтры URL, политики доменной валидации и мониторинг фишинговых страниц, которые используют корпоративный бренд.
Исследователи отмечают: Sneaky2FA - показатель того, что злоумышленники активно внедряют автоматизацию, стараясь максимально приблизить фишинг к реальному пользовательскому опыту. Это означает, что компаниям необходимо повышать порог защиты и уделять внимание технологиям, которые не зависят от кодов и токенов, легко перехватываемых в подобных схемах.
В издательстве Эксмо вышла книга «Вирьё моё!
В редакцию Cyber Media поступило сообщение от пользователей Telegram: в нем указано, что утром 11 декабря многие юзеры получили коды верификации, не запрашивая вход в аккаунт.
Специалисты из Киберполиции зафиксировали массовую рассылку в мессенджерах от имени «Госуслуг», датированную 11 декабря 2025 года.
Исследователи из SentinelOne сообщили о возвращении шифровальщика VolkLocker в обновлённой версии.
«Лаборатория Касперского» разработала для хостинг-провайдера RUDVS специализированное решение Kaspersky Endpoint Security for Linux (KESL) — Space Edition, которое поможет обеспечивать защиту спутника-платформы RUVDSSat1 на протяжении всей его миссии.
На этой неделе компания SAP выпустила финальный в этом году пакет обновлений безопасности.
«Группа Астра» объявила о выпуске Astra Configuration Manager (ACM) версии 1.
Специалисты из Flare оповестили о крупной утечке конфиденциальных данных на Docker Hub.
В Госдуме заявили, что в России могут быть ограничены все сервисы Google, включая почту, облачные инструменты и другие продукты компании.
