Простой обход 2FA на примере производственного предприятия
Обновлено: 04.02.2026
Многие компании, внедрив 2FA полагают, что создали непреодолимый барьер для злоумышленников, однако без должного контроля и последующего тестирования нельзя быть уверенным, что риск минимизирован. ITG Security провела тестирование возможности обхода 2FA, внедренного сторонним подрядчиком.
О клиенте
Производитель электрооборудования
2 000+ сотрудников
Задача
Техническая проверка устойчивости механизма двухфакторной аутентификации при проведении фишинговой атаки.
Результат
Получили доступ к доменной учетной записи
Сроки
14 дней
Услуга ITG Security
Тестирование на проникновение
Проблема
Необходимо проверить возможность обхода 2FA (двухфакторной аутентификации) и получить доступ к информационным сервисам компании, в частности к электронной почте.
При этом необходимо не проводить рассылку фишинговых писем сотрудникам, а сосредоточиться на технической проверке работы механизма аутентификации на ресурсах, где включен 2FA.
Согласовали с Заказчиком объем работ и технологические окна для проведения тестирования.
Создали фишинговый домен. Установили на нем специальные средства для перенаправления трафика с фишингового домена на оригинальный ресурс организации. Среда была максимально приближена к оригиналу.
Выявили и подтвердили уязвимости в отдельных ветвях аутентификационных потоков. В ряде сценариев продемонстрировали возможность получения доменных привилегий.
- Подготовили PoC (Proof of Concept) и отчет с рекомендациями по устранению уязвимостей и подробной инструкцией по внедрению решений.
Результат
Успешно проэксплуатирована уязвимость, позволяющая полностью обойти механизм 2FA. Атакующему удалось перенаправить введенный одноразовый пароль (OTP) на оригинальный ресурс заказчика, получить токен доступа и впоследствии несанкционированный доступ к информационной системе.
Уязвимость возникла из-за некорректного внедрения и настройки решения 2FA от российского вендора, либо из-за наличия системной уязвимости в самом решении. Вендору был направлен отчет для устранения возможной уязвимости.
Внедрение средств защиты информации, особенно 2FA, должно проводиться экспертами с глубоким пониманием предметной области и обязательно с последующим тестированием. Эксперты в ITG Security обладают исчерпывающей экспертизой внедрения 2FA и других средств защиты информации.
По данному кейсу экспертами ITG Security будет дополнительно опубликована статья, в которой более детально будут раскрыты все нюансы проведенной проверки.
