Получить бесплатный пилот
Отправьте заявку — мы запустим пилотный проект за 5 рабочих дней
Двухфакторная аутентификация против фишинга: как настроить 2FA и распознать атаку
30 апреля 2026
15 минут
автор, главная по статьям в Start X
Женя Малышкина
редактор, главная по статьям в Start X
Женя Малышкина
Содержание
Двухфакторная аутентификация усложняет фишинговую атаку, но не делает ее невозможной.
Если раньше злоумышленнику было достаточно украсть данные логина и пароля, то теперь его целью может стать не только второй фактор — код подтверждения или пуш-запрос, — но и уже подтвержденный вход в аккаунт.
Поэтому важен не только сам факт, что двухфакторная аутентификация включена. Важно, какой именно второй фактор стоит на критичных доступах, что именно пытается украсть атакующий и как пользователь ведет себя в момент входа.
В этой статье разберем, как работает двухфакторная аутентификация, какие ее виды лучше защищают от фишинга, в каких сценариях злоумышленники обходят 2FA и как настроить защиту так, чтобы она снижала риск в реальной атаке.
Если раньше злоумышленнику было достаточно украсть данные логина и пароля, то теперь его целью может стать не только второй фактор — код подтверждения или пуш-запрос, — но и уже подтвержденный вход в аккаунт.
Поэтому важен не только сам факт, что двухфакторная аутентификация включена. Важно, какой именно второй фактор стоит на критичных доступах, что именно пытается украсть атакующий и как пользователь ведет себя в момент входа.
В этой статье разберем, как работает двухфакторная аутентификация, какие ее виды лучше защищают от фишинга, в каких сценариях злоумышленники обходят 2FA и как настроить защиту так, чтобы она снижала риск в реальной атаке.
Что такое двухфакторная аутентификация и как она работает
Двухфакторная аутентификация — способ входа, при котором система просит не только пароль, но и второй фактор подтверждения.
Это может быть:
Сначала пользователь вводит логин и пароль. Затем система проверяет их и запрашивает второе подтверждение. Только после этого открывает доступ к аккаунту.
Пароль можно украсть, подобрать, купить в слитой базе или выманить на поддельной странице. В этом сценарии второй фактор дает дополнительный барьер — даже если атакующий узнает пароль, этого будет недостаточно для входа.
Например, сотрудник вводит пароль от рабочей почты на фальшивой странице. Если защита строится только на пароле, доступ будет скомпрометирован, а если включен второй фактор, у компании появляется еще один рубеж защиты.
Дальше все зависит от того, какой второй фактор используется и может ли атакующий получить его вместе с паролем.
Это может быть:
- код из смс или почты;
- пуш-запрос;
- код из приложения-аутентификатора;
- аппаратный ключ.
Сначала пользователь вводит логин и пароль. Затем система проверяет их и запрашивает второе подтверждение. Только после этого открывает доступ к аккаунту.
Пароль можно украсть, подобрать, купить в слитой базе или выманить на поддельной странице. В этом сценарии второй фактор дает дополнительный барьер — даже если атакующий узнает пароль, этого будет недостаточно для входа.
Например, сотрудник вводит пароль от рабочей почты на фальшивой странице. Если защита строится только на пароле, доступ будет скомпрометирован, а если включен второй фактор, у компании появляется еще один рубеж защиты.
Дальше все зависит от того, какой второй фактор используется и может ли атакующий получить его вместе с паролем.
Какие виды 2FA лучше защищают от фишинга
У второго фактора есть несколько разновидностей, и не все они одинаково хорошо защищают от фишинга.
Разница в том, можно ли получить этот фактор вместе с паролем. Если код легко выманить на поддельной странице, защита слабее. Если подтверждение привязано к конкретному сайту, устройству или физическому носителю, атаковать такой вход сложнее.
Разница в том, можно ли получить этот фактор вместе с паролем. Если код легко выманить на поддельной странице, защита слабее. Если подтверждение привязано к конкретному сайту, устройству или физическому носителю, атаковать такой вход сложнее.
Код подтверждения по почте или смс
Код подтверждения по почте или смс — базовый тип двухфакторной аутентификации. Он лучше, чем вход только по паролю, потому что добавляет еще один шаг. Но у этого способа есть слабое место — код можно выманить у пользователя и сразу использовать.
Например, человек вводит логин и пароль на поддельной странице, а потом там же указывает код из смс. В этот момент второй фактор уже не останавливает атаку, потому что пользователь сам передал его злоумышленнику.
Поэтому код подтверждения по почте или смс снижает риск, но плохо защищает в сценарии, где атака строится вокруг поддельной страницы или звонка от мошенника.
Например, человек вводит логин и пароль на поддельной странице, а потом там же указывает код из смс. В этот момент второй фактор уже не останавливает атаку, потому что пользователь сам передал его злоумышленнику.
Поэтому код подтверждения по почте или смс снижает риск, но плохо защищает в сценарии, где атака строится вокруг поддельной страницы или звонка от мошенника.
Код из приложения и пуш-запрос
Код из приложения-аутентификатора обычно сильнее, чем смс. Он не зависит от мобильной связи и выманить его у пользователя так же просто, как код из смс, уже не получится.
Но и здесь защита не абсолютная. Если пользователь сам вводит код из приложения на фальшивом сайте, злоумышленник может использовать его так же, как код из смс.
С пуш-запросами риск немного другой. Пользователь получает запрос на подтверждение входа и может согласиться по ошибке, на автомате или просто потому, что не понял, откуда пришел запрос. Если таких запросов много подряд, ошибиться проще.
Но и здесь защита не абсолютная. Если пользователь сам вводит код из приложения на фальшивом сайте, злоумышленник может использовать его так же, как код из смс.
С пуш-запросами риск немного другой. Пользователь получает запрос на подтверждение входа и может согласиться по ошибке, на автомате или просто потому, что не понял, откуда пришел запрос. Если таких запросов много подряд, ошибиться проще.
Аппаратные ключи и ключи доступа
Аппаратные ключи и ключи доступа лучше защищают от фишинга, потому что они привязаны к конкретному сайту или сервису. Код можно ввести на поддельной странице. Ключ доступа — нет.
Это важно, потому что внешне поддельная страница может почти не отличаться от настоящей. Но если способ входа привязан к реальному ресурсу, украсть такой второй фактор через поддельную страницу уже сложнее.
Поэтому для критичных доступов — почты, VPN, SSO и административных учетных записей — лучше выбирать второй фактор, который сложнее украсть через поддельную страницу.
Это важно, потому что внешне поддельная страница может почти не отличаться от настоящей. Но если способ входа привязан к реальному ресурсу, украсть такой второй фактор через поддельную страницу уже сложнее.
Поэтому для критичных доступов — почты, VPN, SSO и административных учетных записей — лучше выбирать второй фактор, который сложнее украсть через поддельную страницу.
Как настроить 2FA для защиты от кражи данных
Сначала двухфакторную аутентификацию стоит включить на самых чувствительных доступах — там, где один успешный вход открывает путь к другим системам и данным. Если атакующий получит контроль над почтой, VPN или SSO, он может не только зайти в один сервис, но и развить атаку дальше.
В первую очередь это:
Ниже — шаги, которые помогут настроить двухфакторную аутентификацию.
Для критичных сервисов лучше избегать входа по ссылке из письма, даже если она выглядит знакомо. Такая привычка сама по себе снижает риск, когда сотрудник сталкивается с поддельной страницей.
Но даже знание этого правила не гарантирует, что человек не ошибется в реальной рабочей ситуации. Почему так происходит, разобрали в статье «Почему обучение сотрудников информационной безопасности не работает и что с этим делать в 2026».
Там же объяснили, почему во время атаки важен не только сам клик, но и то, как быстро человек понимает, что ситуация подозрительная, и сообщает об этом команде безопасности.
На платформе Start AWR мы помогаем сделать двухфакторную аутентификацию частью реальной защиты: тренируем сотрудников на правдоподобных фишинговых сценариях, показываем, где они отдают код или подтверждают вход, и измеряем, как меняется поведение со временем.
Запишитесь на демо — покажем, как все устроено.
В первую очередь это:
- корпоративная почта;
- SSO и IAM-системы;
- VPN и удаленный доступ;
- административные учетные записи;
- облачные хранилища и офисные сервисы;
- банковские и финансовые кабинеты;
- аккаунты с доступом к персональным данным и внутренним системам.
Ниже — шаги, которые помогут настроить двухфакторную аутентификацию.
- Включите двухфакторную аутентификацию на критичных доступах в первую очередь. Начните с сервисов из списка выше.
- Выбирайте второй фактор по устойчивости к фишингу, а не по удобству по умолчанию. Для обычных пользовательских аккаунтов базовый второй фактор уже лучше, чем один пароль. Но для критичных доступов лучше сразу использовать аппаратные ключи или ключи доступа.
- Проверьте сценарии восстановления доступа. Если второй фактор легко сбросить после звонка, письма или формального запроса, атакующий попытается обойти защиту именно через этот путь. Поэтому важно смотреть не только на сам вход, но и на восстановление аккаунта, смену номера, замену устройства и резервные способы подтверждения. Если необходимо, сохраните резервные способы подтверждения так, чтобы ими нельзя было воспользоваться через формальный запрос в поддержку.
- Отдельно объясните сотрудникам механику входа. Код подтверждения или пуш-запрос нельзя вводить по ссылке из письма, на незнакомом сайте или по просьбе в звонке. Без этого даже включенная 2FA может остаться формальной мерой.
Для критичных сервисов лучше избегать входа по ссылке из письма, даже если она выглядит знакомо. Такая привычка сама по себе снижает риск, когда сотрудник сталкивается с поддельной страницей.
Но даже знание этого правила не гарантирует, что человек не ошибется в реальной рабочей ситуации. Почему так происходит, разобрали в статье «Почему обучение сотрудников информационной безопасности не работает и что с этим делать в 2026».
Там же объяснили, почему во время атаки важен не только сам клик, но и то, как быстро человек понимает, что ситуация подозрительная, и сообщает об этом команде безопасности.
На платформе Start AWR мы помогаем сделать двухфакторную аутентификацию частью реальной защиты: тренируем сотрудников на правдоподобных фишинговых сценариях, показываем, где они отдают код или подтверждают вход, и измеряем, как меняется поведение со временем.
Запишитесь на демо — покажем, как все устроено.
Как фишинг обходит 2FA и что делать после атаки
Двухфакторная аутентификация помогает, но ее можно обойти, если злоумышленник перехватывает сам вход в аккаунт. В такой атаке его целью становятся не только логин и пароль, но и код подтверждения или уже активная сессия.
Сценарий выглядит так. Пользователь получает письмо, переходит по ссылке и попадает на страницу, похожую на настоящую. Вводит логин, пароль, а затем и второй фактор на поддельной странице. Злоумышленник тут же использует эти данные, чтобы войти в настоящий сервис.
Если между пользователем и настоящим сайтом появляется промежуточная поддельная страница, злоумышленник может перехватить уже подтвержденный вход — активную сессию.
В кампании, которую Microsoft описала в январе 2026 года, после такого входа атакующие закреплялись в почте, создавали правила в ящике и рассылали новые письма уже от имени жертвы.
После такой атаки недостаточно просто сменить пароль. Если сотрудник уже ввел данные на поддельной странице, злоумышленник мог сохранить доступ в аккаунт.
Если есть подозрение, что сотрудник ввел данные на поддельной странице, действовать лучше сразу:
Сценарий выглядит так. Пользователь получает письмо, переходит по ссылке и попадает на страницу, похожую на настоящую. Вводит логин, пароль, а затем и второй фактор на поддельной странице. Злоумышленник тут же использует эти данные, чтобы войти в настоящий сервис.
Если между пользователем и настоящим сайтом появляется промежуточная поддельная страница, злоумышленник может перехватить уже подтвержденный вход — активную сессию.
В кампании, которую Microsoft описала в январе 2026 года, после такого входа атакующие закреплялись в почте, создавали правила в ящике и рассылали новые письма уже от имени жертвы.
После такой атаки недостаточно просто сменить пароль. Если сотрудник уже ввел данные на поддельной странице, злоумышленник мог сохранить доступ в аккаунт.
Если есть подозрение, что сотрудник ввел данные на поддельной странице, действовать лучше сразу:
- Смените пароль. Это нужно, чтобы закрыть прямой доступ по скомпрометированным учетным данным.
- Завершите все активные входы. Иначе злоумышленник может сохранить доступ даже после смены пароля.
- Проверьте почту и настройки входа. Посмотрите, не появились ли новые правила в ящике, внешняя переадресация, изменения в настройках двухфакторной аутентификации или новые способы подтверждения, которых пользователь не добавлял сам.
Что важно запомнить
Вопрос не в том, есть ли в компании 2FA. Вопрос в том, какой второй фактор стоит на критичных доступах, можно ли выманить его на поддельной странице и понимают ли сотрудники, что именно они подтверждают в момент входа.
Если второй фактор легко отдать злоумышленнику, защита остается формальной. Если критичные доступы закрыты более устойчивыми способами входа, а сотрудники умеют замечать подмену, двухфакторная аутентификация действительно снижает риск атаки.
Если второй фактор легко отдать злоумышленнику, защита остается формальной. Если критичные доступы закрыты более устойчивыми способами входа, а сотрудники умеют замечать подмену, двухфакторная аутентификация действительно снижает риск атаки.
Что еще почитать
Подпишитесь на дайджест Start X
Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений