Компании доверяют сбросу паролей и идут на поводу у злоумышленников

Специалисты Forrester подсчитали, что каждый сброс пароля обходится компании примерно в 70 долларов. Для хакеров же это удобная возможность получить доступ к аккаунту в обход Multi-Factor Authentication (MFA). Достаточно убедить сотрудника техподдержки сбросить пароль, и уязвимости не понадобятся.

Специалисты Specops провели анализ рисков, связанные с процедурами сброса пароля. Даже при наличии инструментов для самостоятельного сброса сотрудники техподдержки нередко принимают участие в этом процессе, помогая пользователям или реагируя на нестандартные случаи.

Яркий пример — атака на MarksSpencer в апреле 2025 года. Злоумышленники, связанные с группировкой Scattered Spider, представились сотрудниками MS и обратились в стороннюю службу поддержки, чтобы сбросить пароль. В результате они получили доступ ко всей инфраструктуре. Далее они использовали Active Directory для извлечения хешей паролей, взломали часть из них офлайн и постепенно расширяли свой доступ. Затем они развернули шифровальщик, затронув системы платежей, электронной коммерции и логистики, что привело к масштабным сбоям, остановке онлайн-продаж на пять дней и потерям около 3,8 млн евро в день.

Сложность таких атак заключается в том, что для техподдержки они выглядят как обычные запросы. Стандартных проверок, вроде даты рождения, уже недостаточно, поскольку такую информацию можно легко узнать.

Специалисты Specops призвали усилить проверку личности перед сбросом пароля. Например, можно отправлять одноразовый код на устройство пользователя или использовать сервисы идентификации.