В 2026 году главная точка входа в корпоративные взломы — уже не malware на устройстве и не уязвимость в локальном софте, а браузер, через который сотрудники работают с SaaS, корпоративной почтой, SSO, облачными хранилищами и внутренними сервисами. Рассказываем об инсайтах из отчёта Push Security 2026 Browser Attack Techniques.
Главный сдвиг, на который указывает компания, — смена «нулевого пациента» в инцидентах. Если раньше основная угроза была связана с эксплойтами и вредоносным ПО на конечной точке, то теперь злоумышленники все чаще атакуют облачные приложения, идентичности пользователей и активные браузерные сессии. Проще говоря, цель — не обязательно заразить устройство, а перехватить доступ: логины, токены, OAuth-разрешения, cookies и доверенные сеансы.
Почему браузер стал удобной целью
Логика нападающих проста: именно в браузере сегодня сходятся почти все рабочие процессы. Здесь сотрудник входит в Microsoft 365, Google Workspace, Slack, CRM, BI-системы, админ-панели и десятки сторонних сервисов. Браузер становится местом, где уже есть доверие, действующая авторизация и доступ к данным. Поэтому атакующему все чаще не нужно ломать периметр — достаточно обмануть пользователя в тот момент, когда он и так работает в легитимном интерфейсе.
Push подчеркивает, что такие атаки особенно опасны потому, что обходят многие традиционные контрольные точки. Почтовая защита, сетевые фильтры, EDR и классические политики на endpoint могут просто не увидеть критический момент компрометации, если он происходит внутри легитимной браузерной сессии или выглядит как нормальное действие пользователя. Именно поэтому в отчете браузер назван «слепой зоной» для многих команд безопасности.
Какие техники Push считает ключевыми
В описании отчета Push перечисляет набор техник, которые считает основными для 2026 года: AITM-phishing, вредоносные OAuth-приложения, зловредные браузерные расширения, использование дискредитированных паролей (credential stuffing) и невидимой аутентификации (ghost logins), ClickFix и его варианты, а также угонов сессий (session hijacking). Получается экосистема атак, связанных именно с браузером и идентичностью.
1. AITM-phishing: фишинг, который обходит MFA
Одна из самых опасных тенденций — развитие Adversary-in-the-Middle phishing. Это комбинация фишинга, атаки «человек посередине» (Man-in-the-Middle) и угона сессии. Такие наборы инструментов работают как прокси между жертвой и настоящей страницей входа. Пользователь думает, что логинится в легитимный сервис, вводит данные и проходит MFA, а злоумышленник получает не только логин и пароль, но и результат аутентификации, включая токены или сессию. Push отдельно пишет, что AITM-атаки часто нацелены на SSO-порталы вроде Microsoft Entra, Okta и Google Workspace — то есть на самые ценные точки корпоративного доступа.
Вывод исследователей, что наличие MFA уже давно не означает полной защиты. Если защита строится только на факторе входа, а не на контроле самой сессии и контекста браузера, злоумышленник может обойти этот барьер через проксирующий фишинг.
2. OAuth как новая поверхность атаки
Отдельный акцент Push делает на вредоносных OAuth-приложениях и злоупотреблении механизмами согласия. Это особенно опасно, потому что пользователь может не вводить пароль вообще: он просто подтверждает доступ приложению, а атакующий получает разрешение на работу с почтой, файлами или профилем от имени жертвы. Самый показательный пример из материалов Push — техника ConsentFix, сочетающая социальную инженерию в стиле ClickFix с OAuth consent phishing. По описанию Push, атака позволяла захватывать учетные записи Microsoft через злоупотребление Azure CLI OAuth app; если пользователь уже был залогинен в браузере, вводить пароль и проходить MFA ему не требовалось.
3. ClickFix: пользователь сам запускает атаку
Еще одна крупная тема — ClickFix и родственные сценарии. Суть таких атак в том, что жертву убеждают скопировать и выполнить вредоносную команду якобы для «исправления» проблемы: пройти CAPTCHA, починить ошибку сайта, восстановить доступ или подтвердить действие. Push описывает ClickFix как быстро растущую причину инцидентов и приводит оценки из сторонних исследований: email-атаки такого типа выросли на 400% год к году, а в одном из отчетов фиксировался рост на 517% за полгода. В отдельном материале Push со ссылкой на Microsoft говорится, что ClickFix был самым распространенным методом инициации доступа за последний год и составил 47% атак.
Почему это работает? Потому что пользователь действует сам. Он не скачивает «явно опасный» файл с подозрительного домена, а выполняет инструкцию внутри привычного веб-сценария. Дальше может следовать установка инфостилера, кража cookies, удаленный доступ, а затем компрометация бизнес-приложений и вымогательство. Push прямо связывает ClickFix с волной реальных нарушений безопасности и активностью ransomware-групп.
4. Вредоносные расширения: незаметный перехват внутри браузера
Отчет также включает вредоносные браузерные расширения — и это закономерно. В 2026 году расширения становятся не просто «сомнительным дополнением», а полноценным инструментом кражи данных и доступа. Push пишет, что атакующие все чаще используют вредоносные расширения браузера как предпочтительный вектор, а свежие кампании и инциденты вокруг ShadyPanda, ZoomStealer, GhostPoster, Cyberhaven и Trust Wallet лишь подчеркивают серьезность проблемы.
-
ShadyPanda — масштабная кампания с вредоносными расширениями для Chrome и Edge, которые маскировались под полезные плагины, набрали миллионы установок и затем фактически превратились в malware.
-
ZoomStealer — кампания с браузерными расширениями, которые собирали данные о корпоративных встречах: ссылки, ID митингов, темы, описания и иногда встроенные пароли. То есть цель была не просто слежка, а кража meeting intelligence.
-
GhostPoster — семейство вредоносных расширений для Firefox, Chrome и Edge; один из примечательных приёмов — скрывать JavaScript-код внутри изображений/логотипов расширений. Использовалось для слежки за браузером и установки бэкдора.
-
Cyberhaven — не отдельный вирус, а кейс supply-chain compromise: злоумышленник получил доступ к аккаунту Cyberhaven в Chrome Web Store и выпустил вредоносное обновление их расширения, чтобы красть данные пользователей.
-
Trust Wallet — похожий кейс supply-chain атаки: в Chrome Web Store была опубликована вредоносная версия расширения Trust Wallet (v2.68), которая позволяла красть чувствительные данные кошельков и привела к многомиллионным потерям пользователей.
Ключевая проблема в том, что расширение работает прямо в браузерном контексте и может видеть то, что не видят многие внешние средства контроля: содержимое страниц, вводимые данные, cookies, токены и действия пользователя. Поэтому рост таких атак логично вписывается в общую картину отчета: злоумышленники идут туда, где есть данные профиля, сессии и бизнес-данные.
5. Credential stuffing и ghost logins: атака через забытые точки входа
Push отдельно упоминает использование дискредитированных паролей и невидимой аутентификации (ghost logins). В первом случае злоумышленники берут уже скомпрометированные пары логин/пароль и массово проверяют их в разных сервисах. Push прямо определяет это как автоматизированное использование данных из старых утечек и stolen credentials против новых учетных записей и приложений.
Но особенно интересна тема ghost logins — «призрачных» альтернативных способов входа, о которых служба безопасности часто просто не знает. Push пишет, что это забытые локальные или параллельные методы аутентификации, которые могут существовать рядом с SSO и оставаться слабо защищенными. По данным компании, такие присутствуют примерно у 10% аккаунтов в организации. Именно они нередко становятся тем самым обходным путем для кражи аккаунтов, даже если основная SSO-цепочка выглядит надёжной.
6. Session hijacking: если сессия украдена, пароль уже не нужен
Последний крупный блок — угон сессий. Идея здесь предельно практичная: если злоумышленник крадет действующий сессионный токен или cookie, ему больше не нужно заново проходить аутентификацию. Push прямо связывает кражу сессий с украденными токенами аутентификации и подчеркивает, что браузерная телеметрия открывает дополнительные возможности для обнаружения таких инцидентов.
И снова видим вывод, который проходит сквозь отчёт красной линией: компрометация все чаще происходит не через взлом логина «в лоб», а через перехват уже установленного доверенного состояния — токена, активной сессии, OAuth-grant или контекста, в котором пользователь уже аутентифицирован.
Главные вывод ыотчета: старой модели защиты уже недостаточно
Легальные инструменты не успевают за эволюцией атак. Это не означает, что EDR, email security или сетевые контроли бесполезны. Но важно учитывать, что они больше не покрывают весь путь атаки. Когда злоумышленник действует в браузере, использует легитимные сайты, доверенные OAuth-механизмы, действующие сессии и привычные пользовательские действия, защита, построенная только на периметре или точке доступа, начинает давать системные слепые зоны.
Компаниям нужно перестать воспринимать браузер как простой клиент и начать воспринимать его как отдельную поверхность детектирования, контроля и реагирования. Если бизнес работает в браузере, то и защита должна уметь видеть, что происходит именно там. Это необходимый элемент современной стратегии защиты.
Выводы для бизнеса:
-
Защита идентичности больше не сводится к включению MFA.
-
OAuth-разрешения, браузерные расширения, альтернативные логины и признаки захвата сессии должны входить в постоянный мониторинг.
-
Обучение пользователей по-прежнему важно, но его уже недостаточно: атаки становятся слишком нативными и слишком похожими на обычные рабочие сценарии.
Мы видим, как центр тяжести смещается от защиты устройства к защите доступа, от контроля файлов — к контролю сеансов, от анализа трафика — к наблюдению за тем, как пользователь и браузер взаимодействуют с облачными сервисами. Это означает, что угрозы и сами злоумышленники — стали более изощрёнными, а обнаружить их всё сложнее.
