如何對有雙因子認證站點進行釣魚攻擊？

我們假設攻擊者已經獲得了一組有效的員工登錄憑據，而這時如果您沒有多因素身份驗證（MFA），那麼攻擊者毫無疑問就像是中了大獎，因為他們可以快速的獲得該用戶名和密碼下的公開資產。

但是如果你有MFA呢？比如您有一個需要認證登錄的門戶來作為您敏感的公共資產的守護者，並且它受到MFA的保護。

這樣你就認為你的站點是安全的，對嗎？

事實並非如此。

也許您的站點登錄情況對於那些是使用受到破壞的憑據的站點來說是相對安全的。然而，攻擊者仍然可以通過MFA進程進行網路釣魚，並訪問受保護的資源。讓我們來看看這個實例：

剛剛發生了什麼？

這是一個實時網路釣魚的例子。就像在標準的網路釣魚攻擊一樣，攻擊者說服受害者訪問一個假登錄門戶。通過收集用戶的MFA令牌並將其實時提交給真實的登錄門戶，攻擊者成功的對MFA保護的站點進行了身份驗證。然後，受害者被重定向，並顯示其登錄嘗試未成功。

這種攻擊說明了大多數一次性密碼（OTP）系統主要受到哪些的影響：簡訊，語音，電子郵件，認證器應用等都是。

當然這種攻擊類型並不是新出現的。

事實上，這樣的MFA解決方案長期依賴都存在缺陷。而當攻擊者正在進行實時網路釣魚的時候，相對應的企業或者其他組織應該意識到並對其進行有效的控制，以檢測和/或防止這種類型的攻擊。

就個人而言，我預計進行自動實時MFA網路釣魚攻擊的百分比會不斷上升。事實上，當我完成了自己的PoC工具之後，另一位研究人員也公開發布了一個利用網路釣魚MFA令牌的想法的工具。

那麼如何防止這樣的攻擊？

如前所述，這不是MFA中的一個漏洞，只是一次性密碼不是為了防護而設計的。目前最好的預防方法是通過強密碼來執行相互認證，完全從方程式中移除用戶。

另外，通用第二因素（U2F）認證已被創建，其作為更強大的第二個認證因素。許多現代MFA解決方案依賴於用戶識別他們認證的服務是合法的。在上述的網路釣魚情形中，攻擊者故意試圖欺騙受害者，將其MFA令牌提供給受控域名。

U2F可以從方程式中移除用戶。U2F使用硬體令牌，當激活時，使用公鑰加密（PKI）來執行強認證，證明用戶和服務是合法的。即使用戶被釣魚，並且攻擊者獲得密碼，攻擊者也將缺少驗證所需的硬體令牌。

什麼是檢測這種攻擊的最佳方法？

毫無疑問，這需要我們去監控可疑活動和安全分析的登錄事件。特別是去注意這一點：

1. 登錄地點的分散 – 使用IP地理定位信息將允許您檢測到攻擊者從與受害者非常不同的位置登錄。許多企業用戶有多個設備認證：電話，筆記本電腦，平板電腦，但都位於同一個地方。而與其他用戶的「正常」登錄相比，攻擊者從不同位置的登錄最有可能成為可檢測的異常情況。

2. 多個成功認證的用戶都在一個新的位置，我們就可以猜測攻擊者對多個用戶實施了攻擊並且成功了。根據攻擊者的基礎設施，這些登錄可能都來自同一個新的位置。除非所有這些員工都是第一次訪問相同的位置並登錄，否則這個事件可能需要進一步的調查。

本文翻譯自：Phishing Your Way Past Multi-Factor Authentication - OpenSky Corp ，如若轉載，請註明來源於嘶吼： 如何對有雙因子認證站點進行釣魚攻擊？ 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：