Фішингові сервіси більше не обмежуються простими копіями сторінок входу. Платформа Sneaky2FA, яка активно використовується кіберзлочинцями проти корпоративних облікових записів, інтегрувала техніку browser-in-the-browser (BitB). Це дозволяє правдоподібно імітувати вікна авторизації, перехоплювати не лише логіни та паролі, а й активні сесійні токени, ефективно обходячи двофакторну автентифікацію (2FA).
Фішинг як послуга (PhaaS): як працює платформа Sneaky2FA
Sneaky2FA належить до класу PhaaS (phishing-as-a-service, «фішинг як послуга») — передналаштованих наборів і хостингових сервісів, які продаються за підпискою. Вони дають змогу навіть мало досвідченим зловмисникам запускати масштабні фішингові кампанії без глибоких технічних знань.
Основною ціллю Sneaky2FA є корпоративні акаунти Microsoft 365. Компрометація пошти та хмарних сервісів відкриває доступ до фінансових даних, внутрішньої документації, ланцюжків постачання та дає можливість подальшого розповсюдження атаки всередині організації.
Схема attacker-in-the-middle: перехоплення 2FA та сесій
Ключова особливість Sneaky2FA — використання схеми attacker-in-the-middle (AitM). Жертва переходить за фішинговим посиланням на підроблений сайт, який проксіює її взаємодію з реальним сервісом (наприклад, portal.office.com). Усі запити й відповіді проходять через інфраструктуру зловмисників.
Користувач бачить звичну сторінку входу, вводить логін, пароль і одноразовий код 2FA, вважаючи, що спілкується з легітимним ресурсом. Насправді дані спочатку потрапляють на сервери Sneaky2FA, а вже потім — на справжній хмарний сервіс.
Такий підхід дозволяє атакувальникам отримувати валідні сесійні токени, які дають змогу входити до облікового запису без повторного введення пароля та коду 2FA. У результаті навіть коректно налаштована двофакторна автентифікація не запобігає захопленню акаунта: атакувальник просто «підхоплює» вже автентифіковану сесію.
Browser-in-the-browser (BitB): еволюція фішингових інтерфейсів
Концепція browser-in-the-browser була детально описана дослідником під псевдонімом mr.d0x у 2022 році. Вона показала, що за допомогою HTML, CSS та JavaScript можна створити повністю фальшиве вікно входу, візуально не відмінне від справжнього спливаючого SSO‑діалогу Google, Microsoft, Apple, Facebook, Steam та інших постачальників ідентифікації.
У межах BitB‑атаки це «вікно» насправді є елементом сторінки, намальованим усередині браузера. Зловмисники імітують не лише форму авторизації, а й адресний рядок браузера із «правильним» доменом (наприклад, accounts.google.com або login.microsoftonline.com). Середньостатистичний користувач, який звик натискати «Sign in with Microsoft» і бачити невелике вікно з формою входу, не має очевидних візуальних підстав запідозрити підробку.
Інтеграція BitB у Sneaky2FA: комбінований вектор атаки
Додавання BitB робить Sneaky2FA особливо небезпечною, оскільки поєднує AitM‑проксі з реалістичними підробленими SSO‑вікнами. Фальшива сторінка входу динамічно підлаштовується під операційну систему та браузер жертви — імітує, наприклад, Edge на Windows чи Safari на macOS, включно зі стилями вікон і кнопками керування.
Типовий сценарій виглядає так: користувач отримує електронний лист або повідомлення з посиланням, переходить на нібито сторінку Microsoft 365, натискає «Sign in with Microsoft» і бачить знайоме спливаюче вікно. Усі введені дані миттєво спрямовуються на інфраструктуру Sneaky2FA, а потім — на реальний сервіс для отримання сесійного токена, який ідеально підходить для непомітного входу від імені жертви.
Обфускація та антианаліз: як Sneaky2FA уникає виявлення
Дослідники відзначають, що платформа застосовує глибоку обфускацію HTML та JavaScript‑коду. Текст розбитий невидимими тегами, частина інтерфейсу оформлена як закодовані зображення, що значно ускладнює статичний аналіз та роботу антифішингових механізмів.
Додатково використовується розподіл трафіку: запити від ботів, пошукових сканерів і дослідницьких систем перенаправляються на нешкідливі сторінки. У результаті автоматизовані системи виявлення часто бачать «чистий» контент, тоді як реальні користувачі потрапляють на бойовий фішинговий лендінг.
Як захиститися від BitB‑атак і фішингу як послуги
Технічні заходи для захисту Microsoft 365 та хмарних сервісів
Організаціям, які покладаються на Microsoft 365 та інші SaaS‑рішення, варто впроваджувати багаторівневу модель автентифікації. Найбільш стійкими до подібних AitM‑сценаріїв є апаратні ключі та протоколи FIDO2 / WebAuthn, де криптографічна прив’язка до домену зменшує цінність викрадених паролів та одноразових кодів.
Важливу роль відіграють політики умовного доступу (Conditional Access): обмеження входу за географією, типом пристрою, рівнем ризику сесії, а також примусове перевиконання сильної автентифікації за підозрілими подіями. Моніторинг аномальних входів, незвичних OAuth‑дозволів та активності з сесійних токенів допомагає оперативно виявляти захоплені облікові записи.
Освітні програми та операційна гігієна
BitB‑атаки небезпечні насамперед тим, що майже не відрізняються візуально від легітимних форм входу. Тому поінформованість користувачів стає критичним елементом захисту. Рекомендується регулярно проводити навчання з фішингу, симульовані кампанії та розбір реальних інцидентів.
Особливу увагу слід приділяти тому, як виглядають справжні SSO‑вікна, які домени є допустимими для входу, у яких ситуаціях запит додаткової автентифікації є логічним, а коли — підозрілим. Паралельно варто посилювати процеси керування доступом: принцип найменших привілеїв, швидке блокування скомпрометованих акаунтів і регулярний перегляд прав доступу до критичних ресурсів.
Розвиток фішингу як послуги та інтеграція в такі платформи технік рівня browser-in-the-browser свідчать про системне посилення соціальної інженерії та цілеспрямований обхід класичної 2FA. Щоб знизити ризики, організаціям варто переглянути підходи до автентифікації, впровадити апаратні ключі та протоколи FIDO2, посилити моніторинг сесій і зробити навчання співробітників невід’ємною частиною культури безпеки. Чим раніше компанія адаптує свої засоби захисту до нових фішингових інструментів, таких як Sneaky2FA, тим менша ймовірність успішного захоплення корпоративних акаунтів.
