Киберпреступники обходят MFA через сброс аутентификации и кражу токенов

Финансовый сектор стал четвертой по популярности мишенью для кибератак в первом квартале 2026 года, на него пришлось 12% всех зафиксированных инцидентов. Согласно отчету CrowdStrike, количество атак с прямым вмешательством злоумышленников выросло на 43% за два года, а в Северной Америке — на 48%. Особую тревогу вызывает рост активности групп, специализирующихся на вымогательстве: количество финансовых организаций, попавших в списки утечек, увеличилось на 27% за год.

Группа Mutant Spider, лидер по числу атак на финансовые компании, использует социальную инженерию через Microsoft Teams. Злоумышленники звонят сотрудникам, выдавая себя за IT-специалистов, и убеждают их сбросить MFA. После этого атакующие регистрируют собственные устройства в сети и получают доступ к корпоративным данным. Платформа Kali365, продающаяся в Telegram за $250 в месяц, автоматизирует кражу токенов Microsoft 365 через легитимный OAuth-поток, что позволяет обходить MFA без взлома.

Эксперты отмечают, что традиционные меры защиты, такие как MFA, неэффективны против новых методов атак. В отчете Verizon за 2026 год указано, что кража учетных данных составляет лишь 13% от всех векторов первоначального доступа, тогда как эксплуатация уязвимостей выросла до 31%. Среднее время устранения критических уязвимостей увеличилось до 43 дней, а доля исправленных уязвимостей из каталога CISA снизилась до 26%.

Для защиты от таких атак специалисты рекомендуют внедрить дополнительные меры верификации при сбросе MFA, ограничить использование OAuth-потоков в Entra ID и мониторить активность токенов. Также важно пересмотреть бюджеты на безопасность, сместив акцент с защиты от кражи паролей на контроль за сессиями и токенами.