BadB
Professional
- Messages
- 2,223
- Reaction score
- 2,260
- Points
- 113
Технический разбор атак типа «Man-in-the-Browser» и обхода многофакторной аутентификации через перехват сессий
Ключевой инструмент этого обхода — перехват сессионных кук. И главный исполнитель — EvilProxy, фишинговая платформа, ставшая стандартом де-факто для APT-групп (включая российские и иранские хакерские коллективы).
В этой статье мы проведём глубокий технический разбор архитектуры EvilProxy, объясним, почему MFA здесь бессильна, и как именно сессионные куки становятся универсальным ключом к аккаунту.
Если кардер или хакер получит эту куку — он получает полный доступ к аккаунту без повторного прохождения MFA.
Почему? Потому что MFA защищает только аутентификацию, а не авторизацию.
Однако:
Будущее защиты — не в усложнении входа, а в постоянной верификации сессии:
Для кардеров это означает:
Старые методы клонирования и брутфорса уходят в прошлое.
Будущее — за социальной инженерией и перехватом доверия.
Оставайтесь бдительными. Оставайтесь скептичными.
И помните: настоящая безопасность начинается с подозрительности ко всему, что просит вас «войти снова».
Введение: Иллюзия безопасности MFA
Многофакторная аутентификация (MFA) долгое время считалась непреодолимым барьером для киберпреступников. SMS-коды, TOTP-приложения, аппаратные ключи — всё это должно было сделать взлом аккаунтов невозможным. Однако к 2025 году стало ясно: MFA можно обойти, не взламывая её напрямую.Ключевой инструмент этого обхода — перехват сессионных кук. И главный исполнитель — EvilProxy, фишинговая платформа, ставшая стандартом де-факто для APT-групп (включая российские и иранские хакерские коллективы).
В этой статье мы проведём глубокий технический разбор архитектуры EvilProxy, объясним, почему MFA здесь бессильна, и как именно сессионные куки становятся универсальным ключом к аккаунту.
Часть 1: Как работает MFA — и где её слабое место
Архитектура MFA
- Пользователь вводит логин и пароль,
- Система запрашивает второй фактор (SMS, Google Authenticator, Face ID),
- При успешной проверке сервер создаёт сессионную куку,
- Эта кука отправляется в браузер и автоматически прикрепляется к каждому запросу.
Критическая уязвимость:
MFA защищает только момент входа.
После успешной аутентификации вся безопасность сводится к целостности сессионной куки.
Если кардер или хакер получит эту куку — он получает полный доступ к аккаунту без повторного прохождения MFA.
Часть 2: Что такое сессионная кука?
Сессионная кука — это небольшой файл, хранящийся в браузере, содержащий токен сессии (например, sessionid=abc123xyz).
Свойства сессионной куки:
- Действует до закрытия браузера (или до таймаута),
- Автоматически отправляется на каждый запрос к домену,
- Не требует повторной аутентификации,
- Является единственным доказательством авторизации после входа.
Пример:
После входа в Gmail вы можете читать почту часами — без повторного ввода пароля или OTP.
Почему? Потому что браузер отправляет куку SID=... с каждым запросом.
Часть 3: EvilProxy — архитектура современного фишинга
EvilProxy — это Reverse Proxy Phishing Toolkit, который позволяет создавать полностью прозрачные фишинговые порталы.
Как работает EvilProxy:
Code:
Жертва → Фишинговый сайт (evilproxy.com) ↔ Настоящий сайт (gmail.com)- Жертва переходит по ссылке: https://secure-gmail[.]com,
- EvilProxy динамически проксирует весь трафик между жертвой и настоящим Gmail,
- Жертва видит реальный SSL-сертификат, реальный интерфейс, реальные ошибки,
- Жертва вводит логин, пароль, и даже проходит MFA,
- EvilProxy перехватывает сессионную куку и сохраняет её,
- Атакующий использует куку для прямого входа в аккаунт — без MFA.
Ключевой момент:
Жертва сама проходит MFA, а злоумышленник просто крадёт результат.
Часть 4: Почему MFA здесь бессильна
| Тип MFA | Обход через EvilProxy |
|---|---|
| SMS OTP | Жертва вводит код → EvilProxy перехватывает куку |
| Google Authenticator (TOTP) | То же самое — код вводится жертвой |
| FIDO2 / YubiKey | Даже аппаратные ключи не спасают — сессия уже создана |
| Push-уведомления (Microsoft Authenticator) | Жертва нажимает «Approve» → кука перехвачена |
Факт:
100% типов MFA уязвимы к атакам через перехват сессий.
Почему? Потому что MFA защищает только аутентификацию, а не авторизацию.
Часть 5: Реальные кейсы использования EvilProxy
APT29 (Cozy Bear, Россия)
- Использовал EvilProxy для атак на государственные учреждения США и ЕС в 2023–2024 гг.,
- Цель: доступ к Microsoft 365, Outlook, SharePoint,
- Метод: фишинговые письма с поддельными уведомлениями о «подозрительной активности».
Charming Kitten (Иран)
- Атаковал академические и исследовательские центры,
- Использовал EvilProxy для кражи конфиденциальных документов,
- Успешно обошёл Duo Security, Okta, Microsoft MFA.
В обоих случаях жертвы сами проходили MFA, но сессии были украдены.
Часть 6: Технические детали перехвата кук
EvilProxy использует несколько методов для извлечения кук:
HTTP-проксирование
- Все заголовки Set-Cookie перехватываются в реальном времени,
- Куки сохраняются в базе данных атакующего.
JavaScript-инъекции
- Динамическое внедрение скриптов для чтения document.cookie,
- Работает даже если куки помечены как HttpOnly.
TLS-расшифровка
- EvilProxy генерирует валидные сертификаты через Let’s Encrypt,
- Расшифровывает весь HTTPS-трафик на лету.
Защита?
Современные браузеры не могут отличить EvilProxy от настоящего сайта — ведь сертификат валиден, а контент идентичен.
Часть 7: Как защититься — и почему это сложно
Для организаций:
- Session Binding: привязка сессии к IP, User-Agent, устройству,
- Short Session Timeouts: автоматический выход через 15 минут,
- Continuous Authentication: мониторинг поведения после входа.
Для обычных пользователей:
- Невозможно отличить EvilProxy от настоящего сайта,
- Проверка URL недостаточна — фишинговые домены выглядят правдоподобно (micros0ft-login.com),
- MFA не помогает — она уже пройдена.
Никогда не переходить по ссылкам в письмах — всегда вводить URL вручную.
Часть 8: Почему это важно для кардеров
Для тех, кто занимается кардингом или фродом, EvilProxy демонстрирует важный принцип:Однако:
- EvilProxy требует высокого уровня OPSEC,
- Использование таких инструментов привлекает внимание APT-трекеров и правоохранителей,
- Большинство «EvilProxy as a Service» в Telegram — скамы или ханипоты.
Предупреждение:
Попытки использовать EvilProxy без опыта почти гарантированно приведут к компрометации вашего оборудования.
Заключение: Конец эпохи доверия к MFA
EvilProxy — это не просто инструмент. Это символ нового этапа в кибербезопасности, где доверие к многофакторной аутентификации больше не оправдано.Будущее защиты — не в усложнении входа, а в постоянной верификации сессии:
- Привязка к устройству,
- Анализ поведения,
- Автоматическое завершение подозрительных сессий.
Для кардеров это означает:
Старые методы клонирования и брутфорса уходят в прошлое.
Будущее — за социальной инженерией и перехватом доверия.
Финальная мысль:
В мире EvilProxy самый опасный вектор атаки — не уязвимость кода, а доверие человека.
И пока люди кликают по ссылкам — никакая MFA не спасёт.
Оставайтесь бдительными. Оставайтесь скептичными.
И помните: настоящая безопасность начинается с подозрительности ко всему, что просит вас «войти снова».
