Во вторник утром поступил тревожный звонок. Руководитель финансового отдела крупной компании не могла получить доступ к своей учетной записи. Её доступ был заблокирован после планового обновления системы, и ей требовался немедленный вход – в тот день днём должна была запускаться выплата заработной платы. Оператор службы поддержки, работая под давлением и с большой очередью заявок, задал несколько проверочных вопросов. Были подтверждены имя, отдел и имя руководителя – вся информация, которая, как выяснилось, легко доступна на корпоративной странице компании в LinkedIn. В течение двадцати минут учетная запись сотрудника была сброшена, методы многофакторной аутентификации (MFA) очищены и перерегистрированы под контролем злоумышленника, а доступ восстановлен. Таким образом, были фактически обойдены те самые механизмы контроля, на создание которых организация потратила годы. Проблема заключалась в том, что это была не она. К тому времени, как стало ясно, что произошло, злоумышленник уже три недели находился внутри финансовых систем компании, перенаправил два платежа поставщикам и скрылся.
Содержание
- 1 Незапертая дверь: фокус на входе, а не на восстановлении
- 2 Как выглядит восстановление доступа на практике
- 3 Когда искусственный интеллект стал главным инструментом злоумышленников
- 4 Невидимая асимметрия
- 5 Момент, когда доверие необходимо восстановить
- 6 Переосмысление восстановления доступа как проблемы идентификации
Незапертая дверь: фокус на входе, а не на восстановлении
Долгие годы корпоративная безопасность была сосредоточена на процедурах входа в систему. Многофакторная аутентификация (MFA), беспарольные системы, аппаратные токены, биометрические методы входа – «парадная дверь» цифрового предприятия никогда не была так хорошо укреплена. И эта защита работает: злоумышленники всё чаще блокируются на этапе входа. Поэтому они перестали пытаться прорваться через главную защиту.
Вместо этого внимание злоумышленников переключилось на гораздо более уязвимую цель: моменты, когда легитимный пользователь теряет доступ и нуждается в помощи для его восстановления. Восстановление учетных записей, сброс паролей, перерегистрация MFA, обращения в службу поддержки – это те моменты, когда правила аутентификации временно приостанавливаются.
Важно отметить, что во время восстановления механизмы принудительного применения политик, такие как условный доступ, часто полностью обходятся. Их заменяют любые данные, которые оператор поддержки может собрать в данный момент. Тщательно построенные стены вокруг корпоративной учетной записи на короткое время демонтируются, чтобы кого-то пустить обратно. Всё чаще этот «кто-то» оказывается не тем, за кого себя выдает.
Число фишинговых атак выросло на 58% в период с 2024 по 2025 год. Ущерб от мошенничества с выдачей себя за другое лицо превысил миллиард долларов. Прогнозируется, что к 2027 году глобальный ущерб от киберпреступности достигнет 23 триллионов долларов. Эти цифры ошеломляют, но они скрывают более острую истину: почти 70% всех взломов связаны с человеческим фактором.
Речь идет не о критической уязвимости (zero-day exploit — ранее неизвестная уязвимость) и не о государственной атаке на критическую инфраструктуру. Речь идет о человеке, который принимает решение, часто под давлением, часто с неполной информацией, и, как правило, в рамках процесса восстановления, разработанного скорее для удобства, чем для безопасности.
Как выглядит восстановление доступа на практике
Чтобы понять, почему восстановление доступа стало столь привлекательной целью, необходимо рассмотреть, как этот процесс обычно выглядит в большинстве корпоративных сред.
Пользователь сообщает, что не может получить доступ к своей учетной записи. Возможно, он сменил устройство, потерял приложение-аутентификатор или был заблокирован после слишком большого числа неудачных попыток. Он обращается в IT-поддержку. Задача агента поддержки, который должен помогать людям и эффективно решать проблемы, состоит в том, чтобы убедиться, что обратившийся – это действительно тот, за кого он себя выдает.
Однако те самые инструменты, которые обычно используются для верификации – приложение MFA, аппаратный токен, ключ доступа – являются именно тем, к чему пользователь потерял доступ. Поэтому агент вынужден использовать доступные альтернативы.
Это может быть код из СМС, отправленный на зарегистрированный номер телефона. Это может быть набор секретных вопросов. Это может быть разговор, в ходе которого пользователь подтверждает свое имя, команду, руководителя, идентификатор сотрудника. Это может быть письмо на личный электронный адрес.
В некоторых организациях подтверждение может быть получено от руководителя или коллеги из отдела кадров, устно подтверждающего, что «да, этот человек здесь работает».
Эти методы не просто резервные. Проверка по СМС и электронной почте – это фактически «понижение» уровня идентификации: более слабые сигналы используются вместо сильных именно в тот момент, когда ставки максимально высоки. Каждый из этих методов значительно снижает уровень достоверности личности, и каждый из них стал гораздо более уязвим для эксплуатации за последние два года.
Когда искусственный интеллект стал главным инструментом злоумышленников
Рассмотрим, что может сделать целеустремленный злоумышленник сегодня, используя относительно скромные ресурсы.
Технология клонирования голоса, общедоступная и всё более убедительная, может воспроизвести голос человека всего из нескольких секунд аудиозаписи. Злоумышленник, нашедший короткое видео цели на веб-сайте компании, или запись публичного отчета о доходах, или даже выступление в подкасте, теперь имеет исходный материал для имитации этого человека в телефонном звонке в службу поддержки. Оператор на другом конце провода слышит голос, который звучит как напряженный, но знакомый. Агенты хотят помочь – и злоумышленник это знает.
Однако угроза вышла за рамки индивидуальных попыток выдачи себя за другое лицо. Злоумышленники теперь используют ИИ-агентов для предварительной отработки сценариев восстановления доступа, исследуя системы службы поддержки, чтобы точно выяснить, какие вопросы для верификации задаются, как агенты реагируют на давление, и где находятся слабые места в процессе. К моменту фактической атаки злоумышленник уже эффективно провел аудит процесса восстановления организации.
Синтетические личности, созданные из фрагментов реальных персональных данных и дополненные документами, сгенерированными ИИ, и дипфейк-изображениями (глубокими подделками), стали достаточно сложными, чтобы пройти визуальную проверку неопытным человеком. Они используются для открытия мошеннических счетов, прохождения проверок KYC (знай своего клиента – процедуры обязательной идентификации контрагента) и, всё чаще, для восстановления доступа к корпоративным системам путем убедительной выдачи себя за реальных сотрудников.
И эти атаки больше не являются прерогативой высококвалифицированных и терпеливых злоумышленников. Платформы «Мошенничество как услуга» (Fraud as a Service) теперь предоставляют инструменты, скрипты и даже обучение, необходимые для массового проведения атак с использованием социальной инженерии. То, что когда-то требовало сложной преступной операции, теперь может быть совершено почти любым, кто готов заплатить за доступ к нужному инструментарию.
Невидимая асимметрия
В основе восстановления доступа лежит фундаментальная асимметрия, которую большинство организаций до конца не осознали.
Когда пользователь входит в систему обычным образом, большая часть когнитивной и процедурной нагрузки ложится на систему аутентификации. Пользователь предоставляет учетные данные. Система проверяет их по известным факторам. Решение в значительной степени автоматизировано, последовательно и устойчиво к социальному давлению.
Когда пользователю необходимо восстановить доступ, эта нагрузка смещается на человека. Оператор службы поддержки должен оценить ситуацию, взвесить доступную информацию и принять решение. Они делают это десятки раз в день, под давлением времени, с неполной информацией, при этом их эффективность отчасти оценивается по скорости решения заявок.
Злоумышленник же, тем временем, имел время на подготовку. Он знает имя цели, её команду, недавние проекты. Он построил убедительную историю. Возможно, он уже отработал процесс восстановления в тестовом режиме, чтобы узнать, какие вопросы задаются. Эта асимметрия и является эксплуатируемой уязвимостью. Не уязвимость в коде, а уязвимость в процессе.
Момент, когда доверие необходимо восстановить
Стоит отвлечься от механики атаки и подумать о том, что восстановление доступа на самом деле представляет с точки зрения идентификации.
При первоначальной регистрации (онбординге) организации, как правило, применяют наиболее строгие методы подтверждения личности: проверку государственных документов, биометрические проверки, обнаружение «живости» (liveness detection). Эта высоконадежная база является фундаментом, на котором строится сильная аутентификация.
Восстановление же, напротив, часто возвращается к лишь части этого стандарта. Разрыв между этими двумя подходами – не незначительное несоответствие, а структурная уязвимость.
Когда пользователь входит в систему с помощью сильной аутентификации, он непрерывно и автоматически доказывает, что он является тем человеком, который был зарегистрирован. Восстановление – это момент, когда эта цепочка непрерывной верификации прерывается. Пользователь фактически говорит: «Я тот, за кого себя выдаю, но я больше не могу доказать это так, как мы договорились. Доверьтесь мне, несмотря ни на что». Это момент высокого риска, и к нему следует относиться соответствующим образом. Стандарт, применяемый при восстановлении, не должен быть ниже стандарта, применяемого при онбординге. Он, напротив, должен быть выше, потому что контекст по своей сути более подозрителен. Запрос на восстановление, по определению, является аномалией. Что-то произошло. Кто-то что-то потерял или утверждает, что потерял. Это сигнал, а не повод ослабить бдительность.
Переосмысление восстановления доступа как проблемы идентификации
Путь вперед заключается не в том, чтобы сделать операторов службы поддержки более скептичными, или дать им более длинные контрольные списки, или добавить больше вопросов безопасности. Человеческое суждение под давлением всегда будет уязвимым для эксплуатации. Решение состоит в том, чтобы полностью исключить человеческое усмотрение из критического решения о доверии.
Принцип прост: если восстановление может обойти ваши самые сильные средства контроля, оно становится вашим самым слабым средством контроля.
Организация, которая инвестировала в MFA, устойчивую к фишингу, политики условного доступа и аппаратные токены, но позволяет сбрасывать и перерегистрировать эти средства контроля через телефонный звонок в службу поддержки, не обеспечила безопасность своего периметра идентификации. Она создала обходной путь.
Высоконадежное восстановление означает, что восстановление рассматривается как событие «повышенной аутентификации», требующее более высокого уровня доверия, чем сам вход в систему, а не более низкого. Это означает применение той же строгой проверки личности к событию восстановления, что и к первоначальной регистрации: не проверки знаний, не СМС-коды, не слова руководителя, а поддающиеся проверке государственные данные, обработанные автоматизированными системами, устойчивыми к дипфейкам и синтетическим манипуляциям.
Но одной только автоматизации недостаточно. Правильный процесс восстановления – это тот, который постоянно обновляется, чтобы идти в ногу с самыми изощренными злоумышленниками, накладывая проверки подлинности документов, биометрическую верификацию, обнаружение «живости» и поведенческие сигналы в единую систему защиты, которая развивается вместе с угрозой.
Важно отметить, что это не должно происходить за счет удобства пользователя. Легитимный сотрудник, потерявший доступ, должен иметь возможность быстро и беспрепятственно его восстановить. Тот же процесс, который останавливает целеустремленного злоумышленника, должен быть быстрым и бесшовным для человека, которого он призван защищать. Скорость и безопасность не являются противоположностями. При правильном подходе высоконадежное восстановление происходит быстрее, чем звонок в службу поддержки, и гораздо более надежно, чем любое суждение агента.
Это означает аудит каждого пути восстановления в организации как потенциального пути атаки, и знание того, какие рабочие процессы обходят ваши самые сильные средства контроля, прежде чем злоумышленник обнаружит их первым. В эпоху клонирования голоса, отработанной с помощью ИИ социальной инженерии и синтетических личностей вопрос больше не в том, насколько безопасен ваш вход. Вопрос в том, как сделать восстановление таким же безопасным.
