Фішинг уже давно перестав бути історією про дивні листи з помилками, підозрілі вкладення та неуважних співробітників. Сучасні фішингові атаки виглядають переконливо, приходять у правильний час, використовують знайомі сервіси, копіюють корпоративний стиль і часто обходять базові засоби захисту.
Найнебезпечніше те, що фішинг майже завжди б’є не по технології напряму, а по людині. Користувача просять перейти за посиланням, підтвердити вхід, ввести пароль, погодити запит або виконати начебто звичну дію. І якщо система автентифікації дозволяє передати облікові дані сторонньому ресурсу, то рано чи пізно хтось це зробить.
Саме тому захист від фішингу не можна зводити лише до навчання персоналу чи фільтрації пошти. Це корисні інструменти, але вони не закривають саму архітектурну проблему. Якщо доступ до критичних систем залежить від пароля, SMS-коду або одноразового коду з додатку, фішинг залишається робочим сценарієм атаки.
Smart Lab допомагає компаніям перейти до фішингостійкої автентифікації на базі FIDO2 та апаратних автентифікаторів CybKey. Це підхід, за якого користувач не передає секретів сайту, а підроблений ресурс не може отримати дані, придатні для входу в справжню систему.
Чому фішинг досі працює
У багатьох компаніях система доступу виглядає приблизно однаково: логін, пароль і додатковий код. На перший погляд, це вже багатофакторна автентифікація. Але в реальності не кожен другий фактор однаково захищає від сучасних атак.
Фішингова сторінка може виглядати як справжня сторінка входу до пошти, банку, CRM, Microsoft 365, Google Workspace, GitHub, GitLab або іншого сервісу. Користувач вводить пароль. Потім вводить SMS-код або код із додатку. У цей момент зловмисник просто передає ці дані на справжній сайт і отримує доступ.
Людина може навіть не зрозуміти, що щось пішло не так. Сторінка покаже помилку, перекине на реальний сайт або попросить спробувати пізніше. А обліковий запис уже скомпрометовано.
Тут важливо чесно сказати: проблема не лише в користувачі. Люди помиляються, втомлюються, поспішають, працюють у стресі, відкривають листи з телефону, відволікаються на дзвінки. Якщо система безпеки тримається на тому, що людина завжди має бути уважною, така система рано чи пізно дасть збій.
Чи можна обдурити вашу систему автентифікації?
Більшість компаній впевнені, що використовують багатофакторний захист, доки не аналізують реальні сценарії фішингових атак.
Ми допоможемо оцінити поточні ризики та визначити, чи достатньо захищені корпоративна пошта, VPN, Microsoft 365, Google Workspace та інші критичні сервіси.
Пароль — це управлінський борг
Паролі зручні тим, що їх легко впровадити. Вони дешеві на старті, зрозумілі користувачам і підтримуються майже всіма сервісами. Але ця дешевизна часто оманлива.
Пароль потрібно вигадати, запам’ятати, зберегти, не повторювати на інших сайтах, регулярно оновлювати, не передати стороннім і не ввести на підробленій сторінці. Фактично компанія перекладає значну частину ризику на співробітника.
Для невеликої команди з кількох людей це ще може працювати. Але коли бізнес росте, з’являються віддалені працівники, підрядники, адміністратори, хмарні сервіси, спільні доступи, CRM, пошта, фінансові системи — пароль поступово перетворюється на управлінський борг.
Він ніби не створює проблеми сьогодні, але може дуже дорого коштувати завтра.
Питання не лише в тому, чи достатньо складний пароль.
Питання в іншому: хто реально володіє ключами доступу до вашого бізнесу?
Фішинг — це не тільки технічна проблема
Після кібератаки зазвичай дуже швидко з’являється фраза: “було скомпрометовано обліковий запис одного зі співробітників”. Формально це може бути правдою. Але по суті таке пояснення часто приховує значно глибшу проблему.
Якщо одна помилка однієї людини відкриває шлях до критичних систем, то це вже питання не лише до цієї людини. Це питання до архітектури доступу, до політик безпеки і до управлінського рішення залишити все саме так.
Є стара історія про кочегара Артура Пріста, який пережив кілька морських катастроф, включно з “Титаніком”. Кораблі тонули, люди гинули, а він виживав. Але після чергової аварії його фактично викинули з професії — бо вважали, що він приносить нещастя.
Звісно, він не проєктував кораблі, не затверджував стандарти безпеки і не приймав управлінських рішень. Але система знайшла не причину, а зручного винного.
У кібербезпеці часто трапляється щось подібне. Співробітник не створює фішингову атаку. Він не розробляє архітектуру доступу. Він не вирішує, чи можна входити до критичних систем лише за паролем і SMS. Але саме його обліковий запис може стати точкою входу для атаки.
Тому завдання сучасної кібербезпеки — не зробити людей “ідеально уважними”. Завдання — побудувати систему, у якій звичайна людська помилка не перетворюється на інцидент для всього бізнесу.
Чому SMS та одноразові коди вже не достатні
SMS-коди довгий час здавалися простим і зрозумілим способом підтвердження входу. Користувач отримує код на телефон, вводить його на сайті, і система вважає, що це саме він.
Але SMS не створювався як інструмент кібербезпеки. Це сервіс коротких повідомлень, який історично виник у мобільних мережах попередніх поколінь. Він не дає достатнього контролю над тим, хто саме отримав повідомлення, на якому пристрої його прочитали і чи не було воно перехоплене або використане в атаці соціальної інженерії.
Крім того, SMS-код можна виманити. Його можна ввести на фішинговій сторінці. Його можна передати телефоном “співробітнику служби безпеки”. Його можна використати в атаках із підміною SIM-картки або під час перевипуску номера.
Одноразові коди з додатків частково покращують ситуацію, але не вирішують головної проблеми. Якщо користувач бачить фальшиву сторінку і вводить туди код, зловмисник може використати його майже миттєво.
Тому ключове питання звучить так: чи здатна система автентифікації сама відрізнити справжній ресурс від підробленого?
У випадку паролів, SMS і більшості OTP-рішень відповідь — ні.
Що таке фішингостійка автентифікація
Фішингостійка автентифікація — це підхід, за якого облікові дані не можуть бути використані на підробленому ресурсі.
Найбільш зрілою технологічною основою для такого підходу сьогодні є FIDO2 та WebAuthn. Ці стандарти були створені саме для того, щоб зменшити залежність від паролів і зробити автентифікацію одночасно безпечнішою та зручнішою.
Принцип роботи можна пояснити без зайвої криптографії.
Коли користувач реєструється на справжньому корпоративному ресурсі, автентифікатор створює для цього ресурсу окрему пару ключів. Відкритий ключ передається серверу, а приватний ключ залишається всередині автентифікатора і не покидає його.
Коли користувач входить у систему, сервер надсилає запит. Автентифікатор перевіряє, для якого саме ресурсу цей запит призначений, і підписує його відповідним приватним ключем.
Якщо користувач випадково відкрив фішинговий сайт, автентифікатор не знайде ключа для цього ресурсу. Він не “віддасть пароль”, не покаже секрет і не дозволить використати ключ, створений для іншого домену.
Саме тому FIDO2-автентифікатори називають стійкими до фішингу.
У чому різниця між звичайною MFA та FIDO2
Не вся багатофакторна автентифікація однакова.
Звичайна MFA часто додає до пароля ще один крок: SMS, push-підтвердження або одноразовий код. Це підвищує рівень захисту, але не завжди блокує фішинг. Якщо код або підтвердження можна використати на підробленій сторінці, зловмисник все ще має шанс.
FIDO2 працює інакше. Тут немає спільного секрету, який користувач вводить руками. Немає коду, який можна переслати. Немає пароля, який можна зберегти у браузері, записати в блокнот або випадково ввести не там.
Автентифікатор не просто перевіряє користувача. Він також криптографічно прив’язує дію до конкретного сервісу.
Це принципова різниця. Саме вона дозволяє говорити не просто про “додатковий фактор”, а про зміну архітектури доступу.
Рішення Smart Lab для захисту від фішингу
Smart Lab пропонує рішення для впровадження фішингостійкої автентифікації в корпоративному середовищі. Ми працюємо не лише з окремими пристроями, а з усією логікою доступу: хто, куди, з якого пристрою і з яким рівнем гарантій має входити.
Основою рішення є апаратні автентифікатори CybKey та технологія FIDO2.
CybKey може використовуватися для захисту доступу до корпоративних сервісів, хмарної інфраструктури, облікових записів адміністраторів, робочих станцій, VPN, систем розробки та внутрішніх веб-додатків.
У практичному сенсі це означає, що компанія отримує не ще один “код для входу”, а фізичний ключ доступу, який складно підробити, неможливо скопіювати звичайними засобами і не можна використати на фішинговому сайті.
Що входить у впровадження
1. Аналіз поточної системи доступу
На першому етапі ми допомагаємо визначити, де саме компанія має найбільші ризики. Зазвичай це не всі системи одразу, а кілька критичних точок:
- корпоративна пошта;
- Microsoft 365 або Google Workspace;
- облікові записи адміністраторів;
- VPN-доступ;
- GitHub, GitLab або інші системи розробки;
- CRM та ERP;
- фінансові й бухгалтерські сервіси;
- внутрішні панелі керування.
Не завжди потрібно починати з великого проєкту. Часто правильніше спочатку закрити найризикованіші доступи, отримати досвід і вже потім масштабувати рішення на ширше коло користувачів.
2. Проєктування архітектури автентифікації
Фішингостійка автентифікація має бути не лише безпечною, а й реально зручною. Якщо рішення ускладнює щоденну роботу, користувачі починають шукати обхідні шляхи.
Тому ми допомагаємо спроєктувати таку модель, у якій безпека не конфліктує з робочими процесами. Для різних груп користувачів можуть бути різні сценарії:
- окремі правила для керівництва;
- посилені вимоги для адміністраторів;
- захист доступу розробників до репозиторіїв;
- окрема політика для віддалених співробітників;
- резервні автентифікатори для критичних ролей;
- процедури втрати, заміни або відкликання доступу.
3. Інтеграція з корпоративними сервісами
FIDO2 уже підтримується багатьма сучасними платформами. У багатьох випадках компанії не потрібно розробляти все з нуля — достатньо правильно налаштувати існуючу інфраструктуру.
Можливі сценарії інтеграції:
- Microsoft Entra ID;
- Microsoft 365;
- Google Workspace;
- GitHub;
- GitLab;
- VPN-рішення;
- Linux-системи;
- Windows-інфраструктура;
- внутрішні веб-додатки через WebAuthn.
Для компаній із власними сервісами може бути доцільним впровадження окремого серверу автентифікації або моделі “автентифікація як сервіс”.
4. Постачання та налаштування CybKey
Апаратний автентифікатор має важливу перевагу: ключ доступу знаходиться не “десь у хмарі”, не в пам’яті браузера і не у файловому контейнері. Він зберігається у спеціалізованому пристрої.
Це зменшує поверхню атаки. Смарт-картка або токен виконує вузьке завдання і взаємодіє із зовнішнім світом через визначений набір команд. Чим менший об’єкт захисту, тим простіше його контролювати.
Для бізнесу це також зручна організаційна модель. Компанія може видати співробітникам корпоративні автентифікатори так само, як видає пропуски, службові посвідчення або картки доступу.
5. Навчання користувачів та IT-команди
Навіть найкраща технологія потребує нормального впровадження. Користувачі мають розуміти, що змінилося, як тепер входити в систему, що робити у випадку втрати автентифікатора і чому це рішення захищає не лише компанію, а й їх особисто.
IT-команда має розуміти технічну логіку, процедури підтримки, резервні сценарії та політики доступу. Тому Smart Lab може проводити як короткі ознайомчі сесії, так і глибші технічні тренінги.
Чому це зручно для користувачів
Є поширене побоювання, що підвищення безпеки обов’язково ускладнить роботу. У випадку FIDO2 це не завжди так.
Замість того щоб пам’ятати складні паролі, чекати SMS, переписувати коди або підтверджувати push-запити, користувач виконує просту дію з автентифікатором. У багатьох сценаріях це швидше, ніж традиційний вхід.
Для співробітника це виглядає не як “ще одна вимога служби безпеки”, а як звичайний ключ доступу. Приклав картку, ввів PIN або підтвердив дію — і працюєш.
Саме така зручність важлива для реальної безпеки. Бо рішення, яким незручно користуватися щодня, завжди породжує обхідні шляхи.
Що отримує бізнес
Впровадження фішингостійкої автентифікації дає компанії не лише технічний захист. Воно змінює саму модель відповідальності за доступ.
Бізнес отримує:
- зменшення ризику компрометації облікових записів;
- захист від фішингових сторінок;
- меншу залежність від паролів і SMS;
- кращий контроль доступу до критичних систем;
- захист облікових записів керівників та адміністраторів;
- зручніший вхід для користувачів;
- простішу підготовку до аудитів і перевірок;
- кращу відповідність сучасним вимогам кібербезпеки;
- зменшення ризику простою після інциденту.
У багатьох випадках це також репутаційне питання. Клієнти, партнери та аудитори дедалі частіше звертають увагу не лише на наявність політик безпеки, а й на реальні механізми захисту доступу.
Для кого це рішення
Захист від фішингу на базі FIDO2 особливо актуальний для компаній, де компрометація одного облікового запису може мати серйозні наслідки.
Насамперед це:
- фінансові установи;
- IT-компанії;
- виробничі підприємства;
- державні та комунальні організації;
- медичні установи;
- компанії, що працюють із персональними або конфіденційними даними;
- бізнеси з віддаленими командами;
- організації, які використовують хмарні сервіси;
- компанії, що проходять або планують проходити аудит кібербезпеки.
Втім, починати можна не з усієї компанії. Часто першим кроком стає захист керівництва, адміністраторів, фінансового відділу або IT-команди. Саме ці ролі зазвичай є найціннішими цілями для атак.
Кібербезпека починається з управлінського рішення
Керівник не зобов’язаний розбиратися в криптографії. Він не має знати всі деталі WebAuthn, CTAP2 чи ECDSA. Для цього є технічні спеціалісти.
Але є речі, які неможливо делегувати повністю.
- Особистий доступ.
- Ключі до критичних систем.
- Рішення залишити стару модель або перейти на нову.
- Відповідальність перед власниками, клієнтами та партнерами.
Фішингові атаки не зникають через те, що компанія сподівається на уважність співробітників. Вони зникають тоді, коли атака втрачає технічний сенс.
Якщо підроблений сайт не може використати ключ. Якщо пароль не можна викрасти, бо його немає. Якщо доступ до критичної системи залежить не від текстового секрету, а від апаратного автентифікатора, контрольованого компанією.
Це і є перехід від реактивної безпеки до правильної архітектури.
Не знаєте, з чого почати?
За 10–15 хвилин ми можемо оцінити, чи існують у вашій компанії потенційні точки відмови, через які фішингова атака може призвести до компрометації критичних систем.
Навіть якщо результатом консультації стане висновок «для нас це поки не на часі» — це теж корисний результат.
Як почати
Перший крок не обов’язково має бути складним. Достатньо визначити, які облікові записи та сервіси є критичними, і перевірити, чи можна захистити їх за допомогою FIDO2.
За 10–15 хвилин попередньої розмови часто вже можна зрозуміти, чи є у компанії очевидна точка відмови: пошта керівника, адміністраторський доступ, VPN, хмарна інфраструктура або система розробки.
Навіть якщо виявиться, що повне впровадження поки не на часі, така оцінка допоможе краще зрозуміти ризики.
Smart Lab готовий допомогти з аудитом, проєктуванням та впровадженням фішингостійкої автентифікації для вашої компанії.
Ми не пропонуємо експерименти. Ми пропонуємо стандартизовану модель захисту доступу, яка вже використовується у великих компаніях і поступово стає новою нормою корпоративної кібербезпеки.
Зверніться до Smart Lab, щоб оцінити готовність вашої компанії до сучасних фішингових атак і підібрати оптимальне рішення на базі FIDO2 та CybKey.