Хакери навчилися обходити багатофакторну автентифікацію (MFA) та викрадати доступ до акаунтів розробників Amazon Web Services (AWS) у реальному часі. Фахівці з безпеки виявили витончену фішингову атаку, націлену на інженерів-програмістів.
Ми писали раніше: Фішинг еволюціонує: 60% усіх кібератак починаються саме з нього.
Як працює нова схема обходу захисту?
У період з 16 по 19 червня 2026 року дослідники Datadog Security Research зафіксували точкову фішингову кампанію проти користувачів AWS, про що повідомляє видання Cyberpress. Зловмисники обрали мішенню менш ніж 50 фахівців – переважно інженерів-програмістів зі США. Щоб обійти спам-фільтри, хакери розсилали листи через перевірені маркетингові платформи SendGrid та Nimbu.
Для викрадення паролів та одноразових кодів хакери використали метод Adversary-in-the-Middle (AiTM) – «зловмисник посередині». Вони створили фейковий сайт-посередник. Коли жертва вводить свої дані, сервер хакерів миттєво перенаправляє їх на справжній сервіс AWS, паралельно копіюючи паролі та коди доступу.
Аналіз платформи VirusTotal показав, що зловмисники маскували листи під офіційні сповіщення від служби підтримки AWS. У них йшлося про вигадану проблему з обмеженням пропускної здатності (bandwidth throttling) та пропонувалося перейти за посиланням для її вирішення.
Клонована консоль та хитрий захист від дослідників
Посилання вело на майже ідеальну копію сторінки входу в консоль AWS. Фішинговий сайт працював як односторінковий додаток на React і ховався за сервісами Cloudflare.
Щоб не потрапити на очі дослідникам безпеки, хакери налаштували фільтрацію. Сайт шукав у посиланні унікальний параметр input_24 із зашифрованою поштою жертви. Якщо параметр збігався зі списком цілей, відкривався фейковий екран входу. Якщо ж на сайт заходив сторонній користувач чи автоматичний сканер, сервер показував порожню сторінку. До речі, цей трюк із input_24 хакери використовують ще з липня 2025 року для атак на криптогаманці та Salesforce.
Як хакери обходять двофакторну автентифікацію (MFA)?
Коли жертва вводила логін і пароль, фішинговий скрипт одразу відправляв їх на справжній сайт AWS. Система безпеки Amazon у відповідь вимагала підтвердження входу (код з SMS, пошти чи додатка-автентифікатора). Фейковий сайт миттєво підлаштовувався під цей запит і показував користувачеві відповідне вікно.
Щойно людина вводила код, хакери перехоплювали його та заходили в акаунт раніше, ніж термін дії коду закінчувався.
Полювання на акаунти: загроза для України
Схожі методи викрадення даних активно використовують і російські спецслужби. Нещодавно Служба безпеки України спільно з ФБР викрили масштабну ворожу операцію. Російські хакери намагаються зламати месенджери та облікові записи посадовців, військових, активістів та звичайних громадян в Україні, США та Європі, як повідомляє NV.
Яка мета ворога? Росіяни прагнуть отримати доступ до конфіденційної військової, політичної та економічної інформації, а також масово викрасти персональні дані українців.
Тактика зловмисників: Для обходу захисту хакери розсилають СМС-повідомлення, які імітують офіційні сповіщення від «служб підтримки».
Як захистити свої акаунти: правила кібергігієни від СБУ
Щоб уберегтися від зламу, дотримуйтеся простих, але життєво важливих правил:
- Обов'язково вмикайте двофакторну автентифікацію для всіх своїх акаунтів (порада СБУ).
- Регулярно перевіряйте активні сесії у додатках та месенджерах. Негайно видаляйте всі невідомі чи підозрілі підключення (детальніше).
- У жодному разі не передавайте стороннім особам свої паролі та коди підтвердження.
- Не переходьте за сумнівними посиланнями, не відкривайте файли та не скануйте QR-коди, отримані від незнайомців чи у невідомих чатах.
Висновки для бізнесу та розробників
Ця атака доводить, що звичайна двофакторна автентифікація через SMS чи додатки більше не гарантує 100% безпеки від професійних хакерів. Фахівці радять компаніям впроваджувати стійкіші до фішингу методи захисту, наприклад, апаратні ключі безпеки (FIDO2/WebAuthn).
Дивіться також: Глобальний збій AWS поклав сервіси по всьому світу: масово не працюють сайти та застосунки.