Как защитить аккаунты от фишинга в 2026 году

26.01.2026 · 12 мин чтения

Представьте: вы — администратор крупного сообщества ВКонтакте на 50 тысяч подписчиков. Утром приходит письмо: «Срочно подтвердите вход в VK ID, иначе аккаунт будет заблокирован». Ссылка выглядит правдоподобно, страница — один в один как настоящая. Вы вводите логин, пароль, потом код из SMS. Всё как обычно. Только вот через двадцать минут вы обнаруживаете, что больше не можете войти в свой аккаунт, а в сообществе уже публикуют рекламу онлайн-казино.

Что произошло? Вы только что стали жертвой AiTM-атаки — Adversary-in-the-Middle. Фишинговая страница работала как прокси: она в реальном времени передавала ваши данные настоящему сайту и тут же забирала сессионный токен. Ваша двухфакторка сработала идеально — только не для вас, а для злоумышленника.

Это не фантастика и не редкость. По данным Proofpoint, фишинговые наборы вроде Tycoon 2FA и EvilProxy продаются как сервис и позволяют обходить любую классическую двухфакторную аутентификацию за считанные минуты. В 2024 году количество взломов аккаунтов в социальных сетях выросло на 37 %, и большинство из них можно было предотвратить — но не SMS-кодами.

Пароли давно мертвы. Проблема в том, что и привычная двухфакторка умирает прямо сейчас.

Что такое MFA и почему она перестала быть бронёй

Три кита аутентификации

Вся безопасность входа в аккаунт строится на трёх факторах:

То, что вы знаете — пароль, PIN-код, ответ на секретный вопрос.
То, чем вы владеете — телефон, токен, физический ключ.
То, чем вы являетесь — отпечаток пальца, лицо, голос.

Многофакторная аутентификация (MFA) — это комбинация двух или более факторов. Звучит надёжно: даже если злоумышленник узнает ваш пароль, ему нужно ещё и украсть ваш телефон. Но дьявол, как всегда, в деталях.

Почему «пароль + код» — это два пароля подряд

Когда вы вводите код из SMS или приложения-аутентификатора, вы по сути вводите ещё один пароль — просто одноразовый. Вы смотрите на цифры в одном месте и переносите их в другое. И вот тут возникает критическая уязвимость: пока в цепочке есть шаг «человек вручную вводит секрет», этот секрет можно украсть.

Фишинговая страница не знает, что код одноразовый. Ей и не нужно знать. Она просто берёт всё, что вы ввели, и немедленно использует — пока код не истёк. Для злоумышленника с хорошим фишинговым набором разница между паролем и TOTP-кодом — несколько секунд на таймере.

Анатомия современной атаки: как обходят вашу защиту

SMS-коды: самое слабое звено

SMS-коды появились как удобный способ подтверждения — телефон всегда под рукой. Но удобство обернулось уязвимостью:

SIM-swapping — мошенник убеждает оператора перевыпустить вашу SIM-карту на себя. После этого все SMS приходят ему.
Перехват SS7 — протокол сотовой связи, разработанный в 1970-х, имеет известные уязвимости. Спецслужбы и продвинутые злоумышленники умеют читать чужие SMS.
Банальный фишинг — вы сами вводите код на поддельной странице.

По статистике LoginRadius, SMS-коды обеспечивают самую низкую устойчивость к фишингу среди всех методов MFA.

TOTP-приложения: лучше, но ненамного

Google Authenticator, Яндекс ID, Authy — эти приложения генерируют коды локально, без участия сотового оператора. SIM-swapping им не страшен. Но проблема фишинга остаётся: код по-прежнему нужно ввести руками, а значит, его можно выманить.

Представьте: вы получаете письмо «Подозрительная активность в аккаунте Google». Переходите по ссылке, видите знакомую форму входа. Вводите логин, пароль, затем открываете приложение и вводите шестизначный код. В этот момент фишинговый прокси уже вошёл в ваш настоящий аккаунт и начал менять пароль.

Push-уведомления: удобно, но есть нюанс

Push-MFA выглядит современно: вместо кода вы просто нажимаете «Подтвердить» на телефоне. Никаких цифр, никакого ввода. Но здесь появляется другая атака — MFA-fatigue, или «усталость от двухфакторки».

Сценарий прост: злоумышленник уже знает ваш пароль (из утечки или фишинга) и начинает бесконечно отправлять запросы на вход. Ваш телефон вибрирует снова и снова: «Подтвердите вход», «Подтвердите вход», «Подтвердите вход»… В три часа ночи. В метро в час пик. Во время важной встречи. Рано или поздно многие нажимают «Подтвердить» просто чтобы прекратить этот ад.

Именно так в 2022 году был взломан Uber: подросток из хакерской группы Lapsus$ засыпал сотрудника push-уведомлениями, пока тот не сдался.

Adversary-in-the-Middle: главная угроза 2025 года

AiTM-атаки — это вершина эволюции фишинга. Злоумышленник разворачивает прокси-сервер между вами и настоящим сайтом. Вы видите идеальную копию интерфейса, вводите все свои данные, а прокси в реальном времени:

Передаёт их настоящему сервису.
Получает от сервиса сессионный токен (cookie).
Забирает этот токен себе.

После этого злоумышленнику не нужен ни ваш пароль, ни код — у него есть готовая сессия. Он просто заходит в ваш аккаунт, как будто это вы.

Готовые наборы для таких атак — Tycoon 2FA, EvilProxy, Evilginx — продаются в даркнете как сервис. Не нужно быть хакером, достаточно заплатить несколько сотен долларов и следовать инструкции.

Проблема не в том, что коды «слабые». Проблема в том, что браузер не понимает, кто перед ним — настоящий сайт или подделка. И пока пользователь сам переносит секреты из одного окна в другое, он остаётся уязвим.

Для решения этой проблемы и была создана технология Passkeys

Passkeys: когда секрет никогда не покидает устройство

Криптография вместо паролей

Passkeys — это технология беспарольного входа, построенная на стандартах FIDO2 (WebAuthn + CTAP2). Вместо того чтобы запоминать и вводить пароль, вы используете криптографическую пару ключей:

приватный ключ — хранится только на вашем устройстве и никогда его не покидает;
публичный ключ — отправляется на сервер при регистрации.

Как это работает на практике? Представьте, что вместо пароля у вас есть уникальный штамп, который невозможно подделать. При регистрации вы показываете сервису оттиск этого штампа. При входе сервис присылает вам листок бумаги с случайным текстом и просит поставить штамп. Вы ставите — и сервис сравнивает оттиск с тем, что хранит у себя. Если совпадает — вы тот, за кого себя выдаёте.

При этом сам штамп (приватный ключ) всегда остаётся у вас. По сети летит только оттиск (подпись), который бесполезен для повторного использования — каждый раз он делается для нового «листка бумаги» (челленджа).

Привязка к домену: почему фишинг не работает

Вот ключевой момент, который делает passkeys фишингоустойчивыми: криптографическая привязка к домену (origin binding).

Когда вы создаёте passkey для Яндекса, ваше устройство запоминает: «Этот ключ работает только для yandex.ru». Если фишинговый сайт yandex-security.com попросит использовать этот ключ — ничего не произойдёт. Браузер просто не найдёт подходящий ключ, потому что домен другой.

Это принципиальное отличие от паролей и кодов. Пароль — это просто строка символов, которую можно ввести где угодно. TOTP-код — шесть цифр, которые работают независимо от того, куда вы их вводите. А passkey физически невозможно использовать на неправильном сайте.

Фишинговый прокси может нарисовать идеальную копию страницы входа. Но он не может притвориться другим доменом на уровне криптографического протокола. WebAuthn работает глубже, чем HTML и CSS.

Два фактора в одном жесте

Passkeys элегантно решают проблему неудобства MFA. Классическая двухфакторка — это «введи пароль, потом открой приложение, найди нужный аккаунт, введи код». Passkey — это один жест: приложите палец к датчику или посмотрите в камеру.

При этом внутри происходит полноценная двухфакторная аутентификация:

Фактор владения — устройство, на котором хранится приватный ключ.
Фактор присутствия — биометрия или PIN-код, подтверждающие, что это именно вы.

Два фактора, ноль вводимых паролей, секунда времени.

Сравнение методов защиты

Метод	Фишингоустойчивость	Главные уязвимости	Удобство
SMS-коды	Очень низкая	SIM-swap, перехват, фишинг-формы	Не нужно приложение
TOTP-приложения	Низкая	AiTM-прокси, выманивание кода	Ручной ввод кода
Push-уведомления	Средняя	MFA-fatigue, «слепое» подтверждение	Очень удобно
Аппаратные FIDO2-ключи	Очень высокая	Потеря ключа, стоимость	Нужен физический ключ
Passkeys	Очень высокая	Компрометация устройства	Один жест

Важно понимать: passkeys и аппаратные FIDO2-ключи используют один и тот же криптографический фундамент. Разница в том, где хранится приватный ключ: внутри отдельного устройства-токена или в защищённом хранилище вашего смартфона/компьютера.

Где это уже работает: российские реалии

VK ID и экосистема VK

Сервисы VK поддерживают двухфакторную аутентификацию через VK ID — единую систему входа для ВКонтакте, Почты Mail.ru, Облака и других продуктов экосистемы. К концу 2023 года двухфакторку подключили 16 миллионов пользователей.

Доступные методы: SMS, звонок, приложение-аутентификатор. Администраторы крупных сообществ (более 10 000 подписчиков) обязаны использовать двухфакторную аутентификацию — таких сообществ на платформе около 140 000.

Хорошая новость: VK ID поддерживает аппаратные FIDO2-ключи. Если у вас есть Рутокен MFA или аналогичный токен, вы можете использовать его как второй фактор, получив полноценную защиту от фишинга.

Яндекс ID

Яндекс — один из немногих крупных российских сервисов, который полноценно поддерживает passkeys. В настройках безопасности можно включить «вход с помощью устройства» и выбрать биометрию: Face ID, Touch ID или аналогичные технологии на Android.

Приложение Яндекс ID (ранее «Яндекс Ключ») работает как универсальный аутентификатор: генерирует TOTP-коды для любых сервисов, включая Госуслуги, и поддерживает беспарольный вход в экосистему Яндекса по картинке или биометрии.

Для владельцев iPhone с iOS 16 и новее: вы можете создать passkey для Яндекса прямо в настройках iCloud Keychain и использовать его для входа не только на телефоне, но и на любых других устройствах.

Что с остальными?

К сожалению, полноценная поддержка passkeys в российских сервисах пока остаётся редкостью. Госуслуги, банковские приложения, крупные маркетплейсы — большинство из них застряли на уровне SMS и TOTP. Но ситуация постепенно меняется: финансовый сектор активно изучает FIDO2 для защиты от фишинга в критически важных операциях.

Аппаратные ключи: FIDO2-токены для тех, кто серьёзно относится к безопасности

Что такое FIDO2-токен

Аппаратный ключ безопасности — это небольшое устройство (похожее на флешку), которое хранит приватные ключи в защищённом чипе. В отличие от passkeys на смартфоне, ключи в токене физически невозможно извлечь — даже если злоумышленник получит устройство, без PIN-кода он ничего не сделает.

FIDO2-токен работает по тем же стандартам, что и passkeys: WebAuthn для веба, CTAP2 для связи с устройством. Разница в модели угроз: если ваш смартфон заражён вредоносным ПО, passkeys на нём могут быть скомпрометированы. Аппаратный ключ — отдельное устройство с минимальной поверхностью атаки.

Рутокен MFA: российское решение

Рутокен MFA — первая российская линейка FIDO2-токенов от компании «Актив». Устройства сертифицированы и производятся в России, что важно для тех, кто работает с государственными системами или просто предпочитает локальные решения.

Модельный ряд:

Рутокен MFA — стандартный USB-A, классический форм-фактор.
Рутокен MFA C — USB Type-C, для современных ноутбуков и смартфонов. Размеры 29,5 × 13 × 6 мм, вес 3 грамма.
Рутокен MFA C Nano — миниатюрный, можно не вынимать из ноутбука.

Rutoken MFA — Цена любого из устройств — 2 640 рублей (в cryptostore.ru).

Технические характеристики:

Протокол FIDO2 версии 2.1 (CTAP2.1);
алгоритм подписи ES256 (эллиптические кривые P-256);
обратная совместимость с U2F;
поддержка до 16 аккаунтов на одном токене;
сенсорная кнопка для подтверждения присутствия;
работает без драйверов на Windows, macOS, Linux, Android, iOS.

Поддерживаемые сервисы: VK ID, Mail.ru, Google, Microsoft, Apple ID и любые другие, реализующие WebAuthn.

Важная рекомендация: всегда покупайте два токена — основной и резервный. Если единственный ключ потеряется или сломается, вы рискуете потерять доступ к аккаунтам. Резервный ключ храните в надёжном месте — например, в сейфе или у доверенного человека.

Обратная сторона медали: о чём нужно помнить

Зависимость от устройств и экосистем

Passkeys решают проблему фишинга, но создают новую зависимость. Если все ваши ключи живут в iCloud Keychain, а доступ к Apple ID потерян — вы потеряете и все passkeys. Аналогично с Google Password Manager или связкой ключей Windows Hello.

Решение: используйте несколько способов входа. Passkey на смартфоне + аппаратный ключ как резерв. Или passkeys в двух разных экосистемах. Главное — не класть все яйца в одну корзину.

Компрометация устройства

Passkeys защищают от удалённых атак: фишинга, перехвата, социальной инженерии. Но если злоумышленник получил полный контроль над вашим устройством (через вредоносное ПО или физический доступ), никакая криптография не поможет.

Базовые правила гигиены остаются актуальными: обновляйте систему, не устанавливайте софт из сомнительных источников, используйте надёжную блокировку экрана.

Проблема «холодного старта»

Что делать, если вы потеряли телефон в чужой стране и нужно срочно войти в почту с незнакомого компьютера? Passkey на потерянном телефоне не поможет. Аппаратный ключ, возможно, остался дома.

Для таких случаев стоит сохранить резервные коды восстановления (большинство сервисов их предлагают) и хранить в надёжном месте — например, в менеджере паролей или на бумаге в сейфе.

Что делать прямо сейчас: пошаговый план

Для обычного пользователя

Шаг 1. Проведите аудит своих аккаунтов.

Составьте список важных сервисов: почта, соцсети, банки, Госуслуги, облачные хранилища. Для каждого проверьте: какой метод защиты включён? Если только пароль — это красная зона.

Шаг 2. Включите хотя бы TOTP там, где нет passkeys.

Да, TOTP уязвим к фишингу. Но он всё равно на порядок лучше, чем голый пароль. Установите Яндекс ID или любой другой аутентификатор и добавьте туда все важные аккаунты.

Шаг 3. Переключитесь на passkeys там, где они доступны.

Яндекс — настройки безопасности → вход с помощью устройства.
Google — g.co/passkeys.
Microsoft — настройки безопасности учётной записи.
Apple — автоматически через iCloud Keychain на iOS 16+ и macOS Ventura+.

Шаг 4. Рассмотрите покупку аппаратного ключа.

Для VK ID и других сервисов, где passkeys пока не поддерживаются, аппаратный FIDO2-ключ — лучший вариант. Рутокен MFA C стоит около 2 600 рублей, работает со всеми основными сервисами. Не забудьте купить два — основной и резервный.

Шаг 5. Отключите SMS-коды везде, где есть альтернатива.

SMS должны остаться только как последний резервный вариант восстановления доступа, а не как основной метод входа.

Для владельцев продуктов и разработчиков

Шаг 1. Изучите WebAuthn API.

Стандарт хорошо документирован, есть готовые библиотеки для всех популярных языков и фреймворков. Microsoft, Google и Apple предоставляют подробные руководства по интеграции.

Шаг 2. Пересмотрите политику MFA.

SMS и TOTP — это минимальный уровень, приемлемый для низкорисковых сценариев. Для финансовых операций, доступа к персональным данным, административных панелей — только FIDO2/passkeys.

Шаг 3. Продумайте сценарии восстановления.

Что произойдёт, если пользователь потеряет все свои ключи? Резервные коды, верификация по документам, доверенные контакты — механизм восстановления должен быть безопасным, но достижимым.

Заключение: будущее, которое уже наступило

В 2026 году «двухфакторка» — это уже не волшебное слово, автоматически означающее безопасность. SMS-коды, TOTP-приложения, push-уведомления — всё это полумеры, которые злоумышленники научились обходить с помощью готовых инструментов, доступных за несколько сотен долларов.

Passkeys и FIDO2-токены — это не далёкое будущее и не корпоративная экзотика. Это работающие технологии, доступные уже сейчас. Яндекс поддерживает passkeys. VK ID работает с аппаратными ключами. Google, Microsoft, Apple сделали беспарольный вход стандартом.

Главное преимущество этих технологий — они защищают от самой распространённой и эффективной атаки: фишинга. Не потому что вы стали внимательнее читать URL в адресной строке, а потому что криптографически невозможно использовать ключ для неправильного сайта.

Потратьте сегодня вечером полчаса на настройку passkeys в основных аккаунтах. Или закажите Рутокен MFA с доставкой на дом. Это инвестиция, которая может спасти вас от потери аккаунта, денег или репутации.

Фишинговые письма не перестанут приходить. Но они перестанут работать.

Источники

Proofpoint: Tycoon 2FA — фишинговый набор для обхода MFA — анализ современных AiTM-атак и инструментов для обхода двухфакторной аутентификации.
Darktrace: MFA Under Attack — как фишинговые наборы злоупотребляют легитимными сервисами.
LoginRadius: Security Keys vs TOTP vs Push Authentication — сравнение методов MFA по безопасности и удобству.
FIDO Alliance: Passkeys — официальная документация по стандарту от организации-разработчика.
Microsoft Learn: Passkeys (FIDO2) authentication — техническое описание реализации passkeys в экосистеме Microsoft.
inovex: Phishing for Passkeys — анализ WebAuthn и CTAP — глубокий технический разбор защиты passkeys от фишинга.
Блог Касперского: FAQ по использованию passkeys — практическое руководство по настройке ключей доступа.
Cryptostore.ru: Рутокен MFA — характеристики и цены на российские FIDO2-токены.
Рутокен: официальная страница MFA — техническая документация от производителя.
VK Company: двухфакторная аутентификация — официальная информация о методах защиты в экосистеме VK.
Petronella Tech: Top 3 MFA Bypass Attacks — обзор популярных методов обхода MFA: fatigue, кража токенов, AiTM.
Descope: Phishing-Resistant MFA — что делает MFA устойчивой к фишингу.
LastPass Blog: Are Passkeys Really Phishing Resistant? — критический анализ безопасности passkeys.
WebAuthn.me: Passkeys Guide — интерактивное руководство по технологии.