MFA без иллюзии защиты: как закрыть кражу паролей, OTP-fatigue и повторное использование учёток

Почему привычный второй фактор перестал быть защитой — и что с этим делать

Когда второй фактор стал первой целью

Ещё несколько лет назад совет «включи MFA — и будешь в безопасности» звучал исчерпывающе. Сегодня этот совет не ложный, но опасно неполный.

Ситуация изменилась не потому, что MFA плохо спроектирована, а потому, что атакующие адаптировались быстрее, чем менялась защита. Они больше не пытаются сломать второй фактор напрямую — они обходят его сбоку: перехватывают сессию уже после успешной аутентификации, заваливают пользователя push-уведомлениями до изнеможения или подставляют между пользователем и легитимным сервисом прокси-сервер, который «видит» и логин, и OTP одновременно.

Статья адресована тем, кто уже внедрил MFA или планирует это сделать, но хочет понять реальную границу её защиты, актуальные векторы обхода и то, что нужно делать дальше.

Часть 1. Почему пароли до сих пор не умерли — и как они работают против вас

1.1 Масштаб проблемы: учётки как топливо атак

Данные отчёта Verizon DBIR 2025 однозначны: 88% атак на базовые веб-приложения начинаются с использования украденных учётных данных [11]. По данным DBIR 2024, кража учётных данных стала первым по частоте способом начального проникновения, опередив фишинг [12]. В отчёте Mandiant M-Trends 2025 подтверждается: именно скомпрометированные логины — вторая по популярности точка входа злоумышленников [13].

Microsoft фиксирует более 600 млн атак на идентификацию ежедневно. Из них больше 99% — парольные: spray-атаки, перебор, replay скомпрометированных комбинаций [1]. Ежегодный отчёт Microsoft Digital Defense Report 2024 указывает, что в секунду блокируется более 7 000 атак на пароли [14].

В России ситуация не лучше: по данным ГК «Солар», за первые восемь месяцев 2025 года в сеть утекло почти 13 млрд строк персональных данных россиян — почти в четыре раза больше, чем за весь 2024 год [2]. Аналитики InfoWatch зафиксировали в 2024 году рост скомпрометированных записей на 30%, при этом почти треть всего объёма (29%) — аутентификационные данные: пароли и логины [3]. По данным F6, объём утечек данных российских пользователей в 2025 году вырос в полтора раза относительно 2024-го, достигнув 767 млн строк [15].

Positive Technologies установили, что Россия возглавляет мировой рейтинг по количеству объявлений о продаже баз данных компаний в даркнете — на нашу страну приходится около 10% всего объёма таких объявлений за первое полугодие 2024 года [16].

1.2 Механика повторного использования паролей

Проблема не только в утечках как таковых. По данным DBIR 2025, только 49% паролей у жертв инфостилеров уникальны — половина используется более чем на одном сервисе [17]. Это создаёт цепочку: одна утечка → тест на других платформах → доступ к корпоративным ресурсам.

Credential stuffing — автоматический перебор украденных пар логин-пароль — достиг промышленных масштабов. Akamai зафиксировал 26 млрд попыток credential stuffing ежемесячно в 2024 году [18]. При этом современные боты имитируют поведение людей, ротируют IP и обходят CAPTCHA.

Часть 2. Инфостилеры: тихая индустрия кражи учёток

2.1 Как работают инфостилеры

Infostealer-вредоносы — это коммерческое программное обеспечение, распространяемое по модели подписки (Malware-as-a-Service). Они проникают на устройство через фишинг, вредоносные загрузки или уязвимости, после чего собирают:

1. Сохранённые пароли из браузеров (Chrome, Firefox, Edge).
2. Сессионные cookies и токены авторизации.
3. Сертификаты и ключи.
4. Данные криптокошельков.
5. Заполненные формы (autofill).

По данным KELA, в 2024 году инфостилеры скомпрометировали 3,9 млрд учётных данных на 4,3 млн устройств. Среднее число cookies, похищенных при одном заражении, — 1 861 файл [7]. По данным Flashpoint, в том же году инфостилеры украли 2,1 млрд учётных данных — 33% больше, чем в 2023 году [19].

Топ-семейства в 2024–2025 годах: Lumma (рост детектирований на 369% за второе полугодие 2024 года по данным ESET), RedLine (до конца 2024-го — 51% всех заражений инфостилерами по Kaspersky), StealC, RisePro, Vidar [20, 7].

2.2 Почему инфостилеры обходят MFA

Ключевой момент: инфостилеры крадут не пароль для входа — они крадут сессионный cookie, который уже подтверждает успешную аутентификацию. Когда пользователь прошёл MFA и вошёл в Microsoft 365 или Google Workspace, браузер сохраняет токен сессии. Атакующий импортирует этот cookie в свой браузер — и система воспринимает его как легитимного пользователя, уже прошедшего все факторы [21].

Microsoft прямо указывает: token theft attacks стали одной из главных угроз для identity-систем [6]. В 2024 году в рамках отчётности по инцидентам FRSecure оказалось, что 79% жертв компрометации корпоративной почты имели правильно настроенную MFA — но злоумышленники обошли её именно через кражу токенов [4].

Часть 3. OTP-Fatigue: атака на человека, а не на технологию

3.1 Механика push-бомбинга

MFA-fatigue (она же OTP-fatigue, prompt bombing, push bombing) — атака без единой строки кода взлома. Механика проста: атакующий заполучает правильный пароль из даркнета или через фишинг, затем инициирует вход снова и снова, генерируя поток push-уведомлений на телефон жертвы. Цель — усталость, раздражение или случайное одобрение в три часа ночи.

Именно так в сентябре 2022 года была взломана Uber: подрядчик, засыпанный уведомлениями посреди ночи, одобрил одно из них. Cisco и Okta в 2022 году пострадали по той же схеме от группы Lapsus$ [22]. По данным Arctic Wolf, ещё в 2022 году 58% жертв BEC-инцидентов не имели MFA вообще; к первому кварталу 2024-го этот показатель снизился до 25% — прогресс есть, но теперь атакующие перешли именно к fatigue-тактикам [23].

Согласно исследованиям, 25% современных атак включают мошеннические push-уведомления, которые забрасывают пользователей до получения одобрения [24].

3.2 Почему это работает даже с «правильными» настройками

Администраторы получают MFA-запросы чаще рядовых сотрудников — и именно поэтому они наиболее уязвимы к prompt bombing. Когда MFA-запросы становятся рутиной, человек перестаёт их анализировать.

Помимо банального усыпления бдительности, атакующие применяют социальную инженерию в связке с fatigue: звонок от «службы безопасности» с просьбой одобрить уведомление, которое «случайно» уже было отправлено, снижает психологическое сопротивление почти до нуля. По данным Cisco Talos, половина их инцидентов в 2024 году включала обход MFA [25].

Часть 4. AiTM: прозрачный прокси-сервер как главный инструмент 2024–2025

4.1 Как устроена атака adversary-in-the-middle

AiTM (adversary-in-the-middle) — технически более сложная атака, но её суть элегантно проста. Между браузером жертвы и легитимным сервисом (например, Microsoft 365) встаёт прокси-сервер атакующего. Жертва видит настоящую страницу входа — потому что прокси прозрачно транслирует весь трафик на реальный сервер. Вводит логин и пароль — прокси записывает. Проходит MFA — прокси перехватывает сессионный cookie. Далее атакующий воспроизводит этот cookie и получает полный доступ к аккаунту, уже не нуждаясь ни в пароле, ни в MFA-коде [26, 27].

По данным Microsoft, в 2024 году количество AiTM-атак выросло на 146% [6].

4.2 Фишинг-как-сервис: индустриализация обхода MFA

Если раньше для настройки AiTM-атаки требовались специальные технические знания, то сейчас существует целая индустрия Phishing-as-a-Service (PhaaS):

1. Tycoon 2FA — платформа, работающая с августа 2023 года. Специализируется на Microsoft 365 и Gmail. В апреле 2025 года Proofpoint зафиксировал масштабные кампании с этой платформой, которые оставались незамеченными за защитой шести других email-security-вендоров [28].
2. EvilProxy — один из наиболее устойчивых PhaaS-инструментов, в среднем 280 активных серверов ежемесячно с января 2024-го по апрель 2025-го [29].
3. Evilginx — open-source инструмент для red team, ставший оружием в руках атакующих. Зафиксирован рост числа активных URL на 67% квартал к кварталу в 2025 году по данным Sekoia [29].
4. Sneaky 2FA, Mamba 2FA, Greatness — новые платформы, появившиеся в конце 2024-го и быстро набравшие пользователей.

По данным NordVPN, в первые месяцы 2025 года зафиксировано более миллиона PhaaS-атак только с использованием Tycoon 2FA и EvilProxy [30].

4.3 Что не работает против AiTM

Обычный OTP (TOTP, SMS-код) — не помогает: прокси перехватывает его в реальном времени и передаёт на настоящий сервер. Push-нотификация — не помогает: пользователь видит легитимный запрос, потому что он легитимный — просто инициирован через прокси. SMS — ещё хуже: поверх всего этого существует уязвимость SIM-swapping через операторов связи.

Часть 5. Карта векторов: что обходит какой тип MFA

Понимание того, какие атаки против каких методов MFA работают, — основа для правильного выбора стратегии защиты.

Стандартный SMS/OTP — наиболее уязвимый метод

Уязвим к: SIM-swapping (перевыпуск SIM через социальную инженерию у оператора), SS7-атакам на телекоммуникационную инфраструктуру, перехвату через AiTM-прокси, фишингу в реальном времени. Регуляторы в ряде стран прямо рекомендуют отказаться от SMS-MFA.

TOTP-приложения (Google Authenticator, Authy и аналоги) — средний уровень

Лучше SMS, но уязвимы к: перехвату через AiTM (прокси видит введённый код и использует его немедленно), malware на устройстве (инфостилеры могут извлечь seed-ключ), фишингу с социальной инженерией (злоумышленник звонит и просит назвать код).

Push-нотификации — удобство в ущерб безопасности

Уязвимы к: OTP-fatigue / prompt bombing, социальной инженерии через помощь IT-поддержки, AiTM (прокси инициирует настоящий push, пользователь видит легитимное уведомление).

FIDO2 / Passkeys — устойчивый к фишингу метод

Технически устойчив ко всем описанным атакам, потому что использует криптографию с открытым ключом, привязанную к конкретному домену. Даже если пользователь «войдёт» на фишинговый сайт — аутентификатор откажет, потому что домен не совпадает с зарегистрированным [8, 9, 31].

Часть 6. FIDO2 и Passkeys: как это работает и почему это другое

6.1 Технические основы

FIDO2 — стандарт FIDO Alliance, включающий два компонента: WebAuthn (W3C-стандарт для браузерного API) и CTAP (протокол связи с аутентификатором через USB/NFC/Bluetooth). При регистрации устройство генерирует пару ключей: публичный хранится на сервере, приватный — в защищённом хранилище устройства (secure enclave, TPM) и никогда его не покидает [9].

При входе сервер отправляет challenge (случайную задачу), устройство подписывает её приватным ключом после биометрической верификации или PIN. Подпись проверяется публичным ключом. Если домен не совпадает с зарегистрированным — устройство отказывает автоматически. Прокси-серверу нечего перехватывать: нет пароля, нет OTP, нет ничего, что можно переиспользовать.

Passkeys — это потребительский термин для FIDO2-учётных данных. Они могут быть устройство-привязанными (device-bound, например, YubiKey) или синхронизируемыми (synced) через облачные хранилища Apple/Google/Microsoft. Синхронизируемые passkeys не соответствуют требованиям AAL3 по NIST SP 800-63-4 (требует неэкспортируемый приватный ключ), но полностью покрывают AAL2 [32].

6.2 Цифры внедрения

По данным FIDO Alliance, 48% из топ-100 сайтов предлагали passkeys как способ входа в 2025 году — более чем вдвое больше, чем в 2022-м [33]. Из 87% американских и британских компаний, участвовавших в опросе FIDO Alliance, заявили о развёртывании или планах внедрения passkeys [5].

Microsoft сообщает: синхронизируемые passkeys в Microsoft Entra ID ускоряют вход в 14 раз по сравнению с паролем + стандартной MFA (3 секунды против 69 секунд), а успешность входа составляет 95% против 30% при традиционных методах [35].

По данным ID Dataweb, внедрение passkeys снижает частоту сбоев аутентификации на 30%, сокращает число обращений в helpdesk по вопросам учётных данных на 70% и ускоряет вход на 30% [36].

6.3 Ограничения и честная критика

FIDO2/Passkeys — не серебряная пуля. Если сессионный cookie уже украден инфостилером после успешной аутентификации через passkey, атакующий всё равно получит доступ. Passkeys не защищают от компрометации самого устройства. Synced passkeys потенциально уязвимы, если взломан облачный аккаунт пользователя. Наконец, rollout требует управления жизненным циклом — регистрации, замены, отзыва учётных данных.

Часть 7. Российский контекст: регулирование, экосистема и особенности

7.1 Регуляторная реальность

В России применение идентификации и аутентификации регулируется ГОСТ Р 58833-2020 [37]. С 30 мая 2025 года вступил в силу Федеральный закон № 420-ФЗ от 30.11.2024, вводящий оборотные штрафы за утечки ПДн: до 3% годовой выручки, при этом минимум — 20 млн рублей, максимум — 500 млн рублей [10]. Это принципиально меняет экономику: теперь ненадлежащая защита доступа к системам с ПДн — прямой финансовый риск.

Практика подтверждает: в 2024 году сеть «ВинЛаб» после утечки данных 8,2 млн телефонных номеров столкнулась с проверкой Роскомнадзора и штрафами, оцениваемыми в 860 млн рублей [38].

7.2 Инфраструктура и импортозамещение

После 2022 года рынок MFA-решений в России сместился в сторону отечественных разработок. Среди решений, упоминаемых в отраслевых обзорах: MULTIFACTOR (включён в реестр отечественного ПО, работает с RDP/VPN/VDI/SSH), Blitz Identity Provider, «ОдинКлюч» (сертификация ФСТЭК). Отечественные решения проходят сертификационные испытания ФСТЭК, что важно для организаций, работающих с критической информационной инфраструктурой [39, 40].

Глобальные платформы — Duo (Cisco), JumpCloud, Okta — формально доступны, однако для государственных структур и КИИ требуется сертифицированное отечественное ПО.

7.3 Данные об атаках в российском контексте

По данным Kaspersky, публично доступные приложения стали первичным вектором в 39,2% расследованных инцидентов, а действительные учётные записи использовались в 31,4% случаев [41]. Для атак программ-вымогателей на российские организации наиболее распространённый способ проникновения — брутфорс (26% случаев), следом — похищенные учётные данные (21%) [13].

Часть 8. Практические рекомендации: что делать прямо сейчас

8.1 Чек-лист для базовой защиты

1. Аудит всех активных учётных записей и точек аутентификации: VPN, RDP, веб-приложения, API, почта, CRM, 1С.
2. Деактивация неиспользуемых учёток и сервисных аккаунтов с дефолтными паролями.
3. Проверка, нет ли корпоративных email и паролей в открытых базах (Have I Been Pwned, DLBI и аналоги).
4. Принудительная смена паролей у всех учётных записей, фигурирующих в утечках.
5. Внедрение политики уникальных паролей и корпоративного менеджера паролей.
6. Включение MFA для всех внешних точек доступа без исключений.

8.2 Усиление MFA: переход от слабых к стойким методам

1. Отказ от SMS-MFA для привилегированных учётных записей — замена на TOTP-приложение или аппаратный ключ.
2. Включение number matching в push-уведомлениях: пользователь должен ввести код с экрана входа, а не просто нажать «Одобрить». Это блокирует большинство fatigue-атак.
3. Ограничение числа MFA-запросов в единицу времени — автоматическая блокировка при превышении порога.
4. Обучение сотрудников: необходимо объяснить, что неожиданный push-запрос MFA без собственной попытки входа — признак атаки.
5. Пилотное внедрение FIDO2/Passkeys для администраторов и привилегированных пользователей.
6. Для самых критичных ролей — аппаратные ключи (YubiKey, FIDO2-совместимые токены российских производителей).

8.3 Работа с сессионными токенами

1. Сокращение времени жизни сессионных токенов для критичных приложений.
2. Политика Conditional Access: блокировка входа с неизвестных устройств, из нетипичных геолокаций, в аномальное время.
3. Мониторинг anomalous sign-ins через SIEM: несколько успешных аутентификаций с разных IP за короткое время — признак replay-атаки.
4. Device Trust: доступ к ресурсам только с управляемых устройств (MDM/endpoint management).

8.4 Защита от инфостилеров

1. EDR на всех устройствах, включая BYOD — с правилами детектирования обращений к хранилищам паролей браузеров.
2. Запрет сохранения паролей в браузерах и принудительное использование корпоративного менеджера паролей.
3. Регулярный мониторинг даркнета: отслеживание корпоративных доменов в базах скомпрометированных учётных данных.
4. Сегментация сети: даже при компрометации одной учётной записи атакующий не должен получать доступ ко всей инфраструктуре.

Часть 9. Типичные ошибки и как их избежать

Ошибка 1. «Мы включили MFA — теперь защищены». MFA снижает риск, но не устраняет его. Особенно если это SMS-MFA или push без number matching. После включения MFA важно понять, какие именно атаки она теперь блокирует, а какие — нет.

Ошибка 2. Привилегированные аккаунты защищены хуже, чем обычные. Администраторы часто получают исключения из политик — «для удобства». Именно их учётки наиболее ценны для атакующих и именно на них чаще всего ведётся prompt bombing.

Ошибка 3. MFA только на внешнем периметре. VPN с MFA, но внутри корпоративной сети — lateral movement без дополнительной аутентификации. Zero Trust требует проверки при каждом обращении к ресурсу.

Ошибка 4. Длинное время жизни сессий. Если токен сессии действителен 30 дней, украденный инфостилером cookie даёт 30 дней незамеченного доступа.

Ошибка 5. Отсутствие мониторинга аномалий аутентификации. Большинство атак с использованием украденных токенов обнаруживаются не техническими средствами, а случайно — при инциденте или внешней проверке.

Ошибка 6. Игнорирование helpdesk как вектора атаки. Scattered Spider получала доступ через имитацию сотрудника в звонке в IT-поддержку: 10 минут разговора давали сброс MFA. Атака на MGM Resorts в 2023 году обошлась компании более чем в 100 млн долларов именно по этой причине [21].

Часть 10. Кейсы: когда MFA не сработала

Uber (2022)

Группа Lapsus$ использовала классический prompt bombing против подрядчика компании. После серии push-уведомлений (часть — в ночное время) подрядчик одобрил один из них. Атакующие получили доступ к VPN и затем к внутренней инфраструктуре Uber, включая Slack, AWS и инструменты безопасности. Это произошло без какого-либо технического взлома MFA-системы — только эксплуатация человеческой усталости [22].

Change Healthcare (2024)

Группировка ALPHV/BlackCat вошла в инфраструктуру UnitedHealth через скомпрометированные учётные данные к порталу Citrix — без MFA на этом портале. Вскрытие парламентских слушаний в США подтвердило: отсутствие MFA на удалённом доступе стало единственной причиной взлома. Последствия: сбой платёжной обработки для больниц по всей стране, первоначальные потери — 872 млн долларов, к концу 2024 года — свыше 2,8 млрд долларов [22].

Snowflake (2024)

Группа UNC5537 использовала сотни пар логин-пароль, украденных распространёнными инфостилерами (VIDAR, REDLINE, RACCOON), против клиентов Snowflake. На затронутых аккаунтах не было обязательной MFA. Около 80% скомпрометированных аккаунтов (примерно 132 из 165) ранее фигурировали в базах инфостилеров. Пострадали AT&T, Ticketmaster, Santander Group [13, 43].

MGM Resorts (2023)

Scattered Spider позвонила в IT helpdesk, представившись сотрудником, и добилась сброса MFA целевого пользователя. Итогом стала атака ransomware с ущербом более 100 млн долларов [21].

Часть 11. Тренды: что будет дальше

По консенсусу отраслевых аналитиков и вендоров, ближайшие 2–3 года будут отмечены следующими тенденциями — с оговорками о неопределённости прогнозов.

Вероятно: дальнейшая индустриализация PhaaS. Уже сейчас AiTM-атаки доступны за $250 в месяц по подписке. Порог входа снижается, атаки становятся массовыми. Tycoon 2FA был временно выведен из строя в 2025 году, но экосистема быстро восстановилась — появились Sneaky 2FA, Saiga 2FA и другие [29].

Вероятно: ускорение массового перехода на passkeys. Apple ввела API создания аккаунтов с passkeys сразу в iOS 26, iPadOS 26 и macOS 26. Microsoft, Google и Apple активно продвигают их как замену паролям. По прогнозу Thales, 30% потребителей уже используют passkeys, и банковский сектор станет драйвером массового перехода [36].

Возможно: рост deepfake-атак для обхода биометрической MFA. Microsoft предупреждала: к 2026 году 30% компаний могут признать биометрическую верификацию ненадёжной в изоляции из-за качества deepfakes [44].

Возможно: законодательное требование phishing-resistant MFA в регулируемых отраслях. В США это уже обязательно для федеральных систем (NIST SP 800-63-4, OMB M-22-09) [32]. В России аналогичные требования пока только формируются.

Спорно: вопрос, станут ли passkeys действительно массово удобными для корпоративного использования при сложных инфраструктурах с legacy-системами. Интеграция с LDAP, 1С, SAP и другими российскими корпоративными системами требует дополнительной работы.

Часть 12. Актуальность контроля над персональными данными и аутентификационной информацией

Важный, но часто упускаемый аспект: MFA и политики аутентификации бессмысленны, если компания не знает, где и какие данные хранятся. Типичная ситуация: MFA включена на основном корпоративном портале, но в тестовой базе данных лежат реальные учётные данные сотрудников с паролями в открытом виде, а у нового подрядчика, подключённого в прошлом месяце, есть доступ к CRM без должного ограничения.

Закон № 420-ФЗ и поправки к 152-ФЗ создают регуляторное давление: компании теперь несут оборотную ответственность за утечки ПДн, включая аутентификационные данные. Но ответственность возникает после факта утечки, тогда как управление рисками требует понимания реальной картины до инцидента.

Именно здесь на стыке аутентификационной безопасности и комплаенса работает решение Пятый фактор — on-prem платформа для автоматического обнаружения, инвентаризации и контроля персональных данных. Платформа сканирует корпоративные системы (БД, хранилища, почта, AD/LDAP, CRM, 1С, API), выявляет, где хранятся аутентификационные данные, ПДн и другая чувствительная информация, и отображает живую карту данных с владельцами и статусами рисков.

Ключевое отличие: «Пятый фактор» работает только с метаданными, структурой и агрегатами — без передачи и хранения «сырых» ПДн. Это значит, что платформа сама по себе не становится новым источником риска. Для ИБ-команды это означает: вы заранее видите, где появились новые поля с паролями, новые интеграции с внешними подрядчиками или новые источники ПДн, — а не узнаёте об этом при инциденте или проверке Роскомнадзора.

В контексте данной статьи это особенно актуально: если компания не может ответить на вопрос «где у нас хранятся аутентификационные данные пользователей?», то никакая MFA не даст гарантий — потому что утечка может произойти не через точку входа, а из плохо учтённого хранилища.

Заключение: MFA — необходимость, но не финишная черта

Многофакторная аутентификация остаётся обязательным базовым контролем. По оценке Microsoft, хорошо настроенная MFA блокирует 99,9% автоматизированных атак на учётные записи [42]. Но «блокирует большинство» не означает «защищает от всего».

Реальная защита строится по нескольким уровням:

1. Переход от слабых методов (SMS, простые push) к стойким (FIDO2/Passkeys, аппаратные ключи для привилегированных пользователей).
2. Number matching и ограничение частоты push-запросов — для снижения риска OTP-fatigue прямо сейчас, без смены платформы.
3. Контроль сессионных токенов: короткое время жизни, Conditional Access, Device Trust.
4. EDR и мониторинг — против инфостилеров, которые обходят аутентификацию через кражу уже выданных токенов.
5. Инвентаризация и контроль данных — чтобы знать, где хранятся ПДн и аутентификационные данные, до того как об этом узнают атакующие или регулятор.
6. Обучение — потому что social engineering обходит любую технологию, если человек не обучен.

Что делать прямо сейчас: провести аудит точек аутентификации и методов MFA, начать пилот passkeys/FIDO2 для администраторов и привилегированных пользователей, включить number matching там, где это поддерживается, и проверить, не фигурируют ли корпоративные учётки в открытых базах скомпрометированных данных.

Источники

[1] Microsoft Digital Defense Report 2024. Microsoft Security Insider — https://www.microsoft.com/en-us/security/security-insider/threat-landscape/microsoft-digital-defense-report-2024

[2] РБК: «Объем слитых данных россиян вырос вчетверо, до 13 млрд строк» (сентябрь 2025) — https://www.rbc.ru/society/23/09/2025/68d24e309a7947c037bff93e

[3] InfoWatch: «Количество скомпрометированных ПДн в 2024 году выросло на треть» — https://www.infowatch.ru/company/presscenter/news/kolichestvo-slitykh-personalnykh-dannykh-v-dve-tysyachi-dvadtsat-chetvertom-godu-vyroslo-na-tret

[4] FRSecure: «Token Theft Attacks & MFA Defeat: 2025 State of Infosec» (июнь 2025) — https://frsecure.com/blog/token-theft-attacks-mfa-defeat/

[5] Security Boulevard: «The Akira Playbook: How Ransomware Groups Are Weaponizing MFA Fatigue» (ноябрь 2025) — https://securityboulevard.com/2025/11/the-akira-playbook-how-ransomware-groups-are-weaponizing-mfa-fatigue/

[6] Microsoft Security Blog: «Modernize your identity defense with Microsoft Identity Threat Detection and Response» (июль 2025) — https://www.microsoft.com/en-us/security/blog/2025/07/31/modernize-your-identity-defense-with-microsoft-identity-threat-detection-and-response/

[7] KELA Cyber: «Infostealer Epidemic Report 2024–2025» — упомянуто в: https://algeriatech.news/infostealer-malware-credential-theft-epidemic-2026/

[8] FIDO Alliance: «Passkeys — Phishing Resistant Authentication» — https://fidoalliance.org/passkeys/

[9] MojoAuth: «Passkeys Handbook 2025» — https://mojoauth.com/white-papers/passkeys-passwordless-authentication-handbook/

[10] Кибератаки 2025: статистика, векторы атак и главные уязвимости. Passwork Blog — https://passwork.ru/blog/kiberataki-2026/

[11] Beyond Identity: «Verizon DBIR 2025: Access is Still the Point of Failure» — https://www.beyondidentity.com/resource/verizon-dbir-2025-access-is-still-the-point-of-failure

[12] Verizon 2024 Data Breach Investigations Report — Executive Summary — https://www.verizon.com/business/resources/reports/2024-dbir-executive-summary.pdf

[13] ITSEC.ru: «Кража учётных данных обошла фишинг в списке способов начального проникновения за 2024 год» — https://www.itsec.ru/news/krazha-uchiotnih-dannih-oboshla-fishing-v-spiske-sposobov-nachalnogo-proniknoveniya-za-2024

[14] Microsoft Digital Defense Report 2024 — основные тезисы: https://www.microsoft.com/en-in/security/security-insider/intelligence-reports/microsoft-digital-defense-report-2024

[15] CNews: «Число утечек данных россиян за год выросло на 70%» (февраль 2026) — https://www.cnews.ru/news/top/2026-02-03_kolichestvo_utechek_dannyh

[16] DocShell: «Оборотные штрафы за утечку персональных данных» — https://docshell.ru/blog/novosti/oborotnye-shtrafy-za-utechku-personalnyh-dannyh

[17] Descope: «Verizon DBIR 2025: Credentials Are Still #1 Threat» — https://www.descope.com/blog/post/dbir-2025

[18] BreachSense: «How to Prevent Credential Stuffing Attacks» — https://www.breachsense.com/blog/credential-stuffing-prevention/

[19] CyberScoop: «Infostealers fueled cyberattacks and snagged 2.1B credentials last year» (март 2025) — https://cyberscoop.com/infostealers-cybercrime-surged-2024-flashpoint/

[20] InfoWatch: «Кража паролей — основной тип утечек информации в 2024 году» — https://www.infowatch.ru/analytics/daydzhesty-i-obzory/infostilery-priveli-k-utechke-informatsii-millionov-polzovateley

[21] Zerberos: «MFA Is Not Enough: How Attackers Bypass Two-Factor Authentication» — https://www.zerberos.com/en/mfa-is-not-enough-how-attackers-bypass-two-factor-authentication/

[22] Noorstream: «Real-World MFA Bypass Techniques in Recent Breaches 2024–2025» — https://noorstream.com/2025/09/10/real-world-mfa-bypass-techniques-in-recent-breaches-2024-2025/

[23] Arctic Wolf: «How to Stop MFA Fatigue Attacks» — https://arcticwolf.com/resources/blog/growing-risk-of-mfa-fatigue-attacks/

[24] GetAstra: «MFA Bypass Risks: What You Need to Know in 2026» — https://www.getastra.com/blog/dast/mfa-bypass-risks/

[25] Cisco Talos: «State-of-the-art phishing: MFA bypass» (май 2025) — https://blog.talosintelligence.com/state-of-the-art-phishing-mfa-bypass/

[26] Proofpoint: «Tycoon 2FA: Phishing Kit Being Used to Bypass MFA» — https://www.proofpoint.com/us/blog/email-and-cloud-threats/tycoon-2fa-phishing-kit-mfa-bypass

[27] NordVPN: «Adversary-in-the-middle (AitM) phishing attack explained» — https://nordvpn.com/blog/adversary-in-the-middle-attack/

[28] Proofpoint: «Evolving Threat: Microsoft AiTM Phishing Attacks» — https://www.proofpoint.com/us/blog/email-and-cloud-threats/aitm-phishing-attacks-evolving-threat-microsoft-365

[29] Sekoia: «Global analysis of Adversary-in-the-Middle phishing threats» (декабрь 2025) — https://blog.sekoia.io/global-analysis-of-adversary-in-the-middle-phishing-threats/

[30] Bridewell: «The Rise and Fall of Tycoon 2FA» — https://www.bridewell.com/insights/blogs/detail/the-rise-and-fall-of-tycoon-2fa-inside-the-mfa-bypassing-phishing-empire

[31] eMudhra: «Phish-resistant MFA with FIDO2 and passkeys for enterprises» — https://emudhra.com/en-us/blog/phish-resistant-mfa-with-fido2-passkeys-for-enterprises

[32] WWPass: «Phishing-Resistant MFA in 2025: Buyer's Guide to NIST SP 800-63-4 & OMB M-22-09» — https://www.wwpass.com/blog/phishing-resistant-mfa-in-2025-buyer-s-guide-to-nist-sp-800-63-4-omb-m-22-09/

[33] FIDO Alliance: «2025 FIDO Report: The Passwordless Future». Пересказ на Descope — https://www.descope.com/blog/post/2025-fido-report

[34] JumpCloud: «2025 Multi-Factor Authentication (MFA) Statistics & Trends to Know» — https://jumpcloud.com/blog/multi-factor-authentication-statistics

[35] Microsoft Learn: «Passkeys (FIDO2) authentication method in Microsoft Entra ID» — https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-passkeys-fido2

[36] ID Dataweb: «Passkeys vs. OTP: Why 2025 is the tipping point for phishing-resistant MFA» — https://www.iddataweb.com/passkeys-vs-otp-2025/

[37] MFASoft: «Практика применения многофакторной аутентификации в России» — https://mfasoft.ru/2fa_practice

[38] KT-Team: «Требования информационной безопасности 2025» — https://www.kt-team.ru/blog/information-security-requirements-business-guide

[39] Anti-Malware.ru: «Российские системы аутентификации и MFA: обзор 2025 года» — https://www.anti-malware.ru/analytics/Market_Analysis/Russian-biometric-technology-market-overview

[40] IT-World.ru: «Многофакторная аутентификация с MULTIFACTOR: удалёнка без опасности» — https://www.it-world.ru/security/siqg4nsh3eskoc40wsgc04oookkggk4.html

[41] Darknet.org.uk: «Credential Stuffing in 2025» (март 2026) — https://www.darknet.org.uk/2026/03/credential-stuffing-in-2025-how-combolists-infostealers-and-account-takeover-became-an-industry/

[42] Microsoft/BreachSense: «Multi-factor authentication blocks 99.9% of automated credential attacks» — https://www.breachsense.com/blog/credential-stuffing-prevention/

[43] Aembit: «Credential and Secrets Theft: Insights from the 2024 Verizon Data Breach Report» — https://aembit.io/blog/credential-and-secrets-theft-insights-from-the-2024-verizon-data-breach-report/

[44] Hall Booth Smith: «Breakdown Of Microsoft's Digital Defense Report 2024» — https://hallboothsmith.com/microsofts-digital-defense-report-2024/