Онлайн Редакция Вакансии Контакты Игры Гороскоп
Техно Инновации Клонированные консоли и перехват MFA: как хакеры взламывают аккаунты разработчиков AWS
25 июня, 14:01
4

Клонированные консоли и перехват MFA: как хакеры взламывают аккаунты разработчиков AWS

Артур Зайонц

Исследователи обнаружили высокоточную фишинговую кампанию, которая позволяет злоумышленникам в режиме реального времени перехватывать коды многофакторной аутентификации. Атака нацелена исключительно на инженеров-программистов и использует легитимные маркетинговые платформы для обхода спам-фильтров.

Хакеры научились обходить многофакторную аутентификацию (MFA) и похищать доступ к аккаунтам разработчиков Amazon Web Services (AWS) в режиме реального времени. Специалисты по безопасности обнаружили изощренную фишинговую атаку, направленную на инженеров-программистов.

Мы писали ранее: Фишинг эволюционирует: 60% всех кибератак начинаются именно с него.

Как работает новая схема обхода защиты?

В период с 16 по 19 июня 2026 года исследователи Datadog Security Research зафиксировали точечную фишинговую кампанию против пользователей AWS, о чем сообщает издание Cyberpress. Злоумышленники выбрали в качестве мишени менее 50 специалистов — преимущественно инженеров-программистов из США. Чтобы обойти спам-фильтры, хакеры рассылали письма через проверенные маркетинговые платформы SendGrid и Nimbu.

Для кражи паролей и одноразовых кодов хакеры использовали метод Adversary-in-the-Middle (AiTM) — "злоумышленник посередине". Они создали поддельный сайт-посредник. Когда жертва вводит свои данные, сервер хакеров мгновенно перенаправляет их на настоящий сервис AWS, параллельно копируя пароли и коды доступа.

Анализ платформы VirusTotal показал, что злоумышленники маскировали письма под официальные уведомления от службы поддержки AWS. В них говорилось о вымышленной проблеме с ограничением пропускной способности (bandwidth throttling) и предлагалось перейти по ссылке для её решения.

Клонированная консоль и хитрая защита от исследователей

Ссылка вела на почти идеальную копию страницы входа в консоль AWS. Фишинговый сайт работал как одностраничное приложение на React и скрывался за сервисами Cloudflare.

Чтобы не попасться на глаза исследователям безопасности, хакеры настроили фильтрацию. Сайт искал в ссылке уникальный параметр input_24 с зашифрованным адресом электронной почты жертвы. Если параметр совпадал со списком целей, открывался поддельный экран входа. Если же на сайт заходил посторонний пользователь или автоматический сканер, сервер показывал пустую страницу. Кстати, этот трюк с input_24 хакеры используют ещё с июля 2025 года для атак на криптокошельки и Salesforce.

Как хакеры обходят двухфакторную аутентификацию (MFA)?

Когда жертва вводила логин и пароль, фишинговый скрипт сразу отправлял их на настоящий сайт AWS. Система безопасности Amazon в ответ запрашивала подтверждение входа (код из SMS, электронной почты или приложения-аутентификатора). Поддельный сайт мгновенно подстраивался под этот запрос и отображал пользователю соответствующее окно.

Как только человек вводил код, хакеры перехватывали его и заходили в аккаунт раньше, чем истекал срок действия кода.

Охота за аккаунтами: угроза для Украины

Подобные методы кражи данных активно используют и российские спецслужбы. Недавно Служба безопасности Украины совместно с ФБР раскрыла масштабную вражескую операцию. Российские хакеры пытаются взломать мессенджеры и учетные записи чиновников, военных, активистов и обычных граждан в Украине, США и Европе, как сообщает NV.

Какова цель врага? Россияне стремятся получить доступ к конфиденциальной военной, политической и экономической информации, а также массово похитить персональные данные украинцев.

Тактика злоумышленников: чтобы обойти защиту, хакеры рассылают SMS-сообщения, имитирующие официальные уведомления от "служб поддержки".

Как защитить свои аккаунты: правила кибергигиены от СБУ

Чтобы уберечься от взлома, придерживайтесь простых, но жизненно важных правил:

  • Обязательно включайте двухфакторную аутентификацию для всех своих аккаунтов (совет СБУ).
  • Регулярно проверяйте активные сессии в приложениях и мессенджерах. Немедленно удаляйте все неизвестные или подозрительные подключения (подробнее).
  • Ни в коем случае не передавайте посторонним лицам свои пароли и коды подтверждения.
  • Не переходите по сомнительным ссылкам, не открывайте файлы и не сканируйте QR-коды, полученные от незнакомцев или в неизвестных чатах.

Выводы для бизнеса и разработчиков

Эта атака доказывает, что обычная двухфакторная аутентификация через SMS или приложения больше не гарантирует 100% защиту от профессиональных хакеров. Специалисты советуют компаниям внедрять более устойчивые к фишингу методы защиты, например, аппаратные ключи безопасности (FIDO2/WebAuthn).

Смотрите также: Глобальный сбой AWS парализовал сервисы по всему миру: массово не работают сайты и приложения.

Связанные темы:

Amazon
Техно Инновации