Зловмисник, який атакував найбільшу кількість фінансових установ за останній рік, не викрадав облікові дані. Він телефонував до служби IT-підтримки, переконував співробітника скинути налаштування багатофакторної автентифікації (MFA) та зареєстрував свій пристрій у мережі.
Звіт CrowdStrike “Financial Services Threat Landscape Report 2026”, опублікований цього місяця та охоплюючи період з квітня 2025 по березень 2026 року, визначив групу Mutant Spider як найактивнішу загрозу для фінансового сектора. Основною технікою групи було голосове фішингу через Microsoft Teams. Зловмисники видавали себе за внутрішню IT-підтримку, переконували співробітників скинути їхні облікові дані та налаштування багатофакторної автентифікації, після чого реєстрували власні пристрої в корпоративних мережах. Захисний механізм спрацював точно за призначенням — і саме в цьому була проблема.
Через кілька днів ФБР опублікувало попередження про Kali365, платформу “фішинг як послуга”, що продається на Telegram за ціною від 250 доларів на місяць. Kali365 перехоплює OAuth-токени Microsoft 365 через легітимний процес автентифікації коду пристрою. MFA спрацьовує на пристрої жертви, а не зловмисника. Токен надає постійний доступ до Outlook, Teams та OneDrive без повторного запиту MFA.
Звіт Verizon 2026 Data Breach Investigations Report, також опублікований у травні, підтвердив, що викрадення облікових даних знизилося до 13% серед векторів початкового доступу до систем під час інцидентів. Експлуатація вразливостей посіла перше місце з 31%, витіснивши категорію, яку Verizon називав найпоширенішою протягом тривалого часу. Це три незалежні джерела, що вказують на однакові структурні висновки. MFA захищає автентифікацію за паролем, але атаки, що домінують у фінансовому секторі, все частіше обходять викрадення паролів через скидання, надання токенів та експлуатацію вразливостей. Таблиця аудиту вразливостей обходу MFA (“MFA Bypass Exposure Audit Grid”) в кінці цієї статті відображає всі п’ять підтверджених поверхонь атаки звітів CrowdStrike, ФБР та Verizon, а також те, що MFA не охоплює для кожної з них, і конкретні дії для виправлення.
Цифри CrowdStrike свідчать про сектор під постійним тиском
За даними звіту CrowdStrike, фінансовий сектор посів четверте місце серед найбільш атакованих секторів у першому кварталі 2026 року, на нього припадало 12% усієї спостережуваної активності зловмисників. У глобальному масштабі фінансові установи зіткнулися зі збільшенням кількості вторгнень з “ручним керуванням” (hands-on-keyboard intrusions) на 43% у 2025 році порівняно з попередніми двома роками. У Північній Америці цей показник становив 48%.
Напрямок кіберзлочинності зростав швидше, ніж очікували більшість захисників. Оператори великих атак (big game hunting) назвали 423 фінансові установи на спеціалізованих сайтах витоків даних протягом звітного періоду. Це на 27% більше, ніж 334 установи, названі за попередні 12 місяців. REVENANT SPIDER, який керує програмою ransomware-as-a-service Qilin, розмістив найбільшу кількість жертв з фінансового сектора серед усіх кіберзлочинних зловмисників на своєму сайті. Кількість фінансових жертв групи зросла з 14 до 97 за звітний період.
«Навіщо потрібен zero-day експлойт, якщо все, що вам потрібно зробити, це зателефонувати до служби підтримки і сказати: “Я забув свій пароль”», — сказав Адам Меєрс, старший віце-президент з протидії зловмисникам у CrowdStrike, в інтерв’ю VentureBeat. Це одне речення відображає структурну зміну, яку його команда задокументувала протягом дванадцяти місяців вторгнень у фінансовий сектор.
Аналіз інтерактивних вторгнень показує, хто саме отримує доступ до цих мереж. Кіберзлочинні групи були відповідальні за 75% вторгнень з “ручним керуванням” проти фінансових установ. Державні зловмисники становили решту 25%. Це співвідношення не змінилося з 2023 року. Змінилися загальний обсяг та складність методів доступу.
Кампанії голосового фішингу Mutant Spider через Microsoft Teams є структурною зміною в методах початкового доступу. Група видає себе за IT-підтримку, маніпулює співробітниками для скидання MFA, а потім розгортає власні інструменти для пост-доступу, включаючи PrionFlaire, SocksLoader та SleepyMutagen. CrowdStrike вважає, що група продає цей доступ операторам програм-вимагачів. Дзвінок у Teams — це перший крок, а записка з вимогою викупу — п’ятий.
«Навіщо потрібен zero-day експлойт, якщо все, що вам потрібно зробити, це зателефонувати до служби підтримки і сказати: “Я забув свій пароль”?»
Scattered Spider повернулася до агресивних операцій з програмами-вимагачами проти страхових компаній з квітня по липень 2025 року, після значної операційної паузи, що розпочалася в грудні 2024 року. Група використовувала той самий сценарій, що й з 2022 року: соціальна інженерія через службу підтримки; запити на скидання облікових даних та MFA; потім бічний рух через інтегровані SaaS-додатки для пошуку даних для вимагання. У вересні 2025 року Національне агентство боротьби зі злочинністю Великої Британії заарештувало та висунуло звинувачення двом членам за ймовірну атаку на Transport for London. Міністерство юстиції США окремо висунуло звинувачення одному з них у зв’язку з численними кібератаками на критичну інфраструктуру США.
Державні групи додали масштаб і швидкість
Дані звіту щодо державних зловмисників підтверджують проблему ідентифікації з іншого боку. Зловмисники, пов’язані з КНДР, викрали 2,02 мільярда доларів у цифрових активах у 2025 році, що на 51% більше, ніж у попередньому році. У лютому 2025 року Pressure Chollima здійснив найбільше разове викрадення за всю історію, викравши 1,46 мільярда доларів у криптовалюті, скомпрометувавши Safe{Wallet}, платформу управління цифровими активами, яка підтримує біржу Bybit, після того, як машина розробника була заражена через троянізований Python-проєкт. Групи, пов’язані з Китаєм, проводили стійкі кампанії проти фінансових установ на кількох континентах. Hollow Panda експлуатувала VPN-пристрої Check Point для атак на банки у Філіппінах, Індонезії та Бразилії. Vault Panda отримав початковий доступ через скомпрометовані VPN та міжмережеві екрани на чотирьох континентах. Кожна державна кампанія, задокументована CrowdStrike, мала спільний елемент. Перший крок зловмисника був спрямований на ідентифікацію, облікові дані або надійний шлях доступу.
Елія Зайцев, технічний директор CrowdStrike, у квітні заявив VentureBeat, що швидкість цих операцій випереджає традиційні моделі захисту. «Традиційні підходи просто не розроблені для такого типу поведінки», — сказав Зайцев.
Kali365 перетворює викрадення токенів на послугу за підпискою
Повідомлення ФБР від 21 травня про Kali365 підтвердило другий шлях атаки, що робить цю проблему комплексною. Платформа використовує механізм авторизації пристроїв OAuth 2.0 від Microsoft, призначений для таких пристроїв, як смарт-телевізори та конференц-системи, які не можуть підтримувати інтерактивні входи. Kali365 надсилає фішингові електронні листи, видаючи себе за довірені сервіси, такі як Adobe Acrobat Sign, DocuSign та SharePoint. Електронний лист містить код пристрою та інструкції відвідати легітимну сторінку верифікації Microsoft. Жертва автентифікується як зазвичай. MFA спрацьовує. Токен надходить до зловмисника.
VB Transform · 14–15 липня · Менло-Парк · Агентний захист та ідентифікація
Ваші агенти мають доступ до електронної пошти, кредитних карток та терміналів. Що станеться, коли вони будуть скомпрометовані?
Сесії з агентного захисту охоплюють ін’єкції промптів, пісочниці в регульованих середовищах та протоколи довірених агентів, які Visa тестує проти власної критичної інфраструктури.
Дізнатися повний порядок денний →
Arctic Wolf, який опублікував технічний аналіз Kali365 у квітні, задокументував трирівневу комерційну структуру. Адміністративний рівень для розробників, агентський рівень для реселерів та клієнтський рівень для платних афіліатів. Ціни за підписку варіюються від 250 доларів за 30 днів до 2000 доларів за рік. Платформа підтримує 14 мов і включає створені ШІ фішингові приманки, автоматизовані шаблони кампаній та інформаційну панель відстеження в реальному часі.
Потік коду пристрою не є вразливістю. Це функція. Microsoft розробила його для пристроїв, які не можуть підтримувати інтерактивний вхід. Проблема полягає в тому, що конфігурації Entra ID за замовчуванням не обмежують його використання, і більшість організацій ніколи не перевіряли, чи вимагає його будь-який легітимний робочий процес. Kali365 використовує цю прогалину між призначенням функції та реалізацією.
Verizon DBIR підтвердив цю оцінку з іншого боку. Випуск 2026 року проаналізував понад 22 000 підтверджених інцидентів витоку даних у 145 країнах. Експлуатація вразливостей (31%) тепер випереджає зловживання обліковими даними (13%). Середній час для повного встановлення патча збільшився до 43 днів з 32. Організації виправили лише 26% критичних вразливостей із каталогу CISA Known Exploited Vulnerabilities, порівняно з 38% попереднього року.
Ці дані створюють чітку картину. Галузь два десятиліття будувала захист від викрадення облікових даних. Атаки, які реально працюють у фінансовому секторі, або видаляють MFA за допомогою соціальної інженерії, або перехоплюють токени через легітимні потоки автентифікації, де MFA не захищає сесію зловмисника.
Таблиця аудиту вразливостей обходу MFA
Керівники відділів безпеки повинні провести аудит свого середовища цього тижня. Кожен рядок представляє підтверджений шлях атаки з вищезазначених трьох звітів.
|
Поверхня атаки |
Підтверджений інцидент |
Що не охоплює MFA |
Дії |
|
Голосовий фішинг у Teams / скидання MFA службою підтримки |
Найактивніший зловмисник у фінансовому секторі телефонував співробітникам у Teams, домовлявся про скидання MFA, реєстрував власний пристрій (CrowdStrike) |
Служба підтримки перевіряє особу абонента без додаткового підтвердження поза каналом зв’язку. Соціальна інженерія повністю усуває MFA. |
Перевірка поза каналом зв’язку для всіх скидань MFA. Апаратні ключі FIDO2. Зворотний дзвінок через окремий канал. |
|
Потік коду пристрою OAuth |
Інструмент за $250/міс перехоплює токени M365 через сторінку devicelogin. MFA не спрацьовує на пристрої зловмисника (ФБР) |
Не обмежено в конфігураціях Entra ID за замовчуванням. Канал автентифікації розділяє виклик MFA користувача від надання токена зловмиснику. |
Обмежити потік коду пристрою в умовних правилах доступу Entra ID. Блокувати некеровані пристрої. |
|
Стійкість токена |
Обидва шляхи закінчуються тут. Справжні токени можуть надавати тижні або місяці тихого доступу залежно від конфігурації терміну дії токена (CrowdStrike + ФБР) |
Традиційний моніторинг викрадення облікових даних не виявляє доступу на основі токенів. Токени є еквівалентами облікових даних, але більшість інструментів виявлення не класифікують їх таким чином. |
Моніторинг використання токенів оновлення OAuth з незнайомих пристроїв. Політики терміну дії токенів. |
|
Бічний рух у SaaS після доступу |
Після скидання зловмисники переходили до SaaS-додатків для отримання облікових даних та документів (CrowdStrike, страховий сектор) |
DLP моніторить завантаження файлів, а не активність сесії після скидання або виклики API на основі токенів з авторизованих сесій. |
Аудит доступу до Graph API. Позначати масові операції з сесій, отриманих через скидання або код пристрою. |
|
Невідповідність бюджету |
Викрадення облікових даних — 13%. Експлуатація вразливостей — 31% (Verizon DBIR). Реверс-інжиніринг патчів протягом 72 годин (Ivanti) |
Застарілі інвестиції в MFA, що працює лише для входу, спрямовані на загрозу, яка впала на третє місце. Перехоплення токенів та соціальна інженерія поза цими інвестиціями. |
Переглянути пріоритети на користь моніторингу токенів, валідації сесій, перевірки ідентичності під час скидання. |
Майк Рімер, старший віце-президент та польовий CISO в Ivanti, в ексклюзивному інтерв’ю VentureBeat зазначив, що проблема швидкості посилює невідповідність бюджету. «Зловмисники проводять реверс-інжиніринг патчів, і швидкість, з якою вони це роблять, значно прискорилася завдяки ШІ», — сказав Рімер. «Вони здатні провести реверс-інжиніринг патча протягом 72 годин. Якщо я випускаю патч, а клієнт не встановлює його протягом 72 годин після випуску, він стає вразливим до експлуатації».
Структурна проблема очевидна
«Люди забувають про безпеку під час виконання (runtime security)», — сказав Зайцев. «Ми робили це раніше, з кінцевими точками, віртуалізацією та хмарами. Люди дуже зосередилися на тому, щоб, скажімо, виправити всі вразливості. Це неможливо. Давайте переконаємося, що ми заблокуємо всі дозволи. Здається, завжди щось пропускається».
Зловмисники, які зараз найбільш небезпечні для фінансового сектора, не викрадають паролі. Вони телефонують до служб підтримки. Вони експлуатують легітимні потоки автентифікації. Вони перехоплюють токени, які діють місяцями. Захисні механізми, на які витрачалася найбільша частка бюджетів безпеки за останнє десятиліття, спрямовані на загрозу, яка впала на третє місце.
Рішення полягає не в додаванні ще одного рівня MFA — про це говорили як Зайцев, так і Рімер. Це переосмислення того, що саме захищає MFA, чого вона не охоплює, і куди наступного разу слід спрямувати бюджет.
Як захиститися (Порада ІТ-Блогу):
- Для користувачів: Будьте надзвичайно обережні, коли вам телефонують з IT-підтримки та просять скинути облікові дані або підтвердити особисті дані. Завжди перепитуйте, хто телефонує, і якщо є сумніви, самостійно зателефонуйте за офіційним номером служби підтримки, а не за тим, що надав вам можливий зловмисник.
- Для адміністраторів: Впровадьте суворіші політики перевірки для скидання MFA та облікових даних. Розгляньте використання додаткових методів аутентифікації поза основним каналом зв’язку (наприклад, дзвінок на особистий номер телефону, який є в базі компанії, або перевірка через іншу захищену систему). Обмежте використання потоку коду пристрою OAuth для тих випадків, коли це справді необхідно, та ретельно моніторте його використання.
За даними порталу: venturebeat.com