Фишинговая платформа Sneaky2FA, активно используемая киберпреступниками для атак на корпоративные аккаунты, получила поддержку техники browser-in-the-browser (BitB). Это позволяет злоумышленникам правдоподобно имитировать окна авторизации и перехватывать не только логины и пароли, но и действующие сессионные токены, обходя двухфакторную аутентификацию (2FA).
Sneaky2FA относится к сегменту PhaaS (phishing-as-a-service, «фишинг как услуга») — готовых наборов и сервисов, которые продаются по подписке и позволяют даже малоопытным злоумышленникам запускать масштабные фишинговые кампании. Наиболее часто через Sneaky2FA атакуются корпоративные аккаунты Microsoft 365, поскольку компрометация почты и облачных сервисов обеспечивает быстрый доступ к критичной бизнес‑информации.
Как работает фишинговый сервис Sneaky2FA
Ключевая особенность Sneaky2FA — использование схемы attacker-in-the-middle. Жертва попадает на фишинговый сайт, который проксирует ее взаимодействие с реальным сервисом (например, portal.office.com). Пользователь вводит логин, пароль и одноразовый код 2FA, считая, что общается с настоящей страницей. На самом деле весь трафик проходит через сервер злоумышленников.
Благодаря этому атакующие получают не только учетные данные, но и сессионные токены. Такие токены позволяют входить в учетную запись без повторного ввода пароля и кода 2FA. В результате даже корректно настроенная двухфакторная защита не спасает от захвата аккаунта: злоумышленник просто «подхватывает» уже аутентифицированную сессию.
Техника browser-in-the-browser (BitB): с чего все началось
Концепция атак browser-in-the-browser была подробно описана в 2022 году исследователем под псевдонимом mr.d0x. Он показал, что при помощи HTML, CSS и JavaScript можно создать полностью фальшивое окно авторизации, визуально неотличимое от настоящего всплывающего окна single sign-on (SSO) Google, Microsoft, Apple, Facebook, Steam и других поставщиков идентификации.
Обычный пользователь привык нажимать кнопку «Войти с помощью Google / Microsoft» и видеть компактное всплывающее окно с формой авторизации и адресной строкой. В BitB‑атаке это окно рисуется внутри текущей веб‑страницы. Злоумышленники имитируют не только форму входа, но и адресную строку браузера, создавая иллюзию безопасного домена (например, accounts.google.com или login.microsoftonline.com). Для жертвы такой интерфейс выглядит абсолютно легитимным.
Интеграция BitB в Sneaky2FA: комбинированный вектор атаки
Добавление поддержки BitB делает Sneaky2FA особенно опасным: теперь платформа сочетает attacker-in-the-middle с реалистичными поддельными SSO‑окнами. Фейковая страница авторизации динамически подстраивается под операционную систему и браузер жертвы, имитируя, например, Edge на Windows или Safari на macOS. Это значительно снижает вероятность того, что пользователь заметит подмену.
Сценарий атаки выглядит так: пользователь переходит по фишинговой ссылке (из письма, мессенджера или через взломанный сайт), видит знакомую страницу входа Microsoft 365 или кнопку «Sign in with Microsoft», после чего ему отображается поддельное BitB‑окно. Все введенные данные немедленно перенаправляются на инфраструктуру Sneaky2FA, а затем — на реальный сервис для получения валидного сессионного токена.
Обфускация, антианализ и уход от детектирования
Исследователи отмечают, что Sneaky2FA активно использует глубокую обфускацию HTML и JavaScript‑кода. Текст на страницах разбавлен невидимыми тегами, а многие элементы интерфейса представлены как закодированные изображения. Для человека страница выглядит привычно и аккуратно, но анализ кода становится существенно сложнее для систем статического обнаружения и антифишинговых движков.
Дополнительно реализован механизм разделения трафика: запросы от ботов, сканеров и исследовательских систем перенаправляются на безвредные страницы. Это усложняет автоматическое выявление и блокировку фишинговой инфраструктуры, а также затрудняет работу аналитиков, не попадающих на «боевую» версию лендинга.
Как защититься от BitB‑атак и фишинга как услуги
Технические меры
Для организаций, использующих Microsoft 365 и другие облачные сервисы, критично внедрять многоуровневую защиту аутентификации. Наиболее эффективны аппаратные ключи и протоколы FIDO2 / WebAuthn, которые снижают ценность украденных паролей и одноразовых кодов. Полезно применять политики условного доступа (Conditional Access), ограничивать логины по географии и типу устройств, а также отслеживать аномальные входы и подозрительные сессии.
Обучение пользователей и операционные практики
BitB‑атаки особенно опасны тем, что визуально почти неотличимы от легитимных форм входа, поэтому осведомленность сотрудников становится критическим фактором. Рекомендуется регулярно проводить тренинги по фишингу, имитационные кампании и разбор реальных инцидентов, обращая внимание на признаки поддельных SSO‑окон, необычные домены и несоответствие контексту (неожиданное требование повторной авторизации, неожиданные запросы прав доступа).
Для уменьшения риска компрометации стоит внедрять строгие процессы управления доступом, минимизацию прав, оперативное отключение скомпрометированных учетных записей, а также мониторинг использования сессионных токенов и OAuth‑приложений в корпоративной среде.
Развитие фишинга как услуги и появление в таких платформах техник уровня browser-in-the-browser показывают, что злоумышленники все активнее инвестируют в качество «социальной инженерии» и обход классической 2FA. Организациям важно не ограничиваться базовыми мерами безопасности, а выстраивать целостную стратегию защиты: комбинировать современные механизмы аутентификации, проактивный мониторинг и системное обучение сотрудников. Исследование подобных наборов, как Sneaky2FA, дает возможность заблаговременно адаптировать защиту и снизить вероятность успешного взлома корпоративных аккаунтов.
