MFA并非100%有效 網(wǎng)絡(luò )犯罪分子可通過(guò)這幾種方式輕
發(fā)布時(shí)間:2021-07-04 11:13
來(lái)源:FreeBuf.COM
閱讀:0
作者:中科天齊軟件安全中心","網(wǎng)絡(luò )安全
欄目: 網(wǎng)絡(luò )安全
data-v-04201b88>
使用多因素身份驗證(MFA)是一個(gè)很好的安全防護手段�����,但與其他方式一樣��,它并非萬(wàn)無(wú)一失�,而且不可能100%有效�。
許多人認為多因素認證(MFA)是最終的網(wǎng)絡(luò )防御手段����,有了它��,企業(yè)和個(gè)人“感覺(jué)”更安全����,并認為這是一種萬(wàn)無(wú)一失的方式�����。畢竟���,攻擊者需要登錄憑據和對輔助設備的訪(fǎng)問(wèn)權限才能破壞系統����。然而�����,這種錯誤的安全感是危險的����,因為伴隨惡意軟件和網(wǎng)絡(luò )攻擊手段不斷提升�,繞過(guò)這些保護措施已經(jīng)變得相對容易��。
就像我們可以通過(guò)復雜的網(wǎng)絡(luò )安全防護技術(shù)來(lái)加強系統一樣����,網(wǎng)絡(luò )犯罪分子也可以使用相同的技術(shù)來(lái)利用弱點(diǎn)��。他們甚至可以使用合法的基礎設施繞過(guò)MFA并訪(fǎng)問(wèn)公司網(wǎng)絡(luò )和個(gè)人數據從而威脅到我們的軟件安全及數據安全��。以下是惡意軟件常用并取得成功的攻擊方式��。
中間人攻擊
一種普遍的攻擊方法是中間人(MitM)或反向Web代理攻擊��。在這種情況下���,惡意用戶(hù)通過(guò)電子郵件或短信發(fā)送鏈接���,將目標指向一個(gè)類(lèi)似(幾乎完全一樣)合法網(wǎng)站的釣魚(yú)網(wǎng)站�����。實(shí)際上�,即便是經(jīng)過(guò)訓練的眼睛也不一定能分辨出其中的真偽�。
例如���,假設銀行的登錄頁(yè)面使用了雙因素身份驗證(2FA)���。攻擊者知道���,即使有用戶(hù)名和密碼��,他們也無(wú)法訪(fǎng)問(wèn)該網(wǎng)站����。因此����,他們在釣魚(yú)頁(yè)面和實(shí)際服務(wù)之間設置了反向網(wǎng)絡(luò )代理(因此得名“中間人”)����。
當用戶(hù)在釣魚(yú)網(wǎng)站上輸入真實(shí)憑據時(shí)�����,它會(huì )與合法服務(wù)通信�,后者又將第二因素令牌或代碼發(fā)送給用戶(hù)�����。當用戶(hù)在釣魚(yú)網(wǎng)站上提交身份驗證代碼時(shí)�����,不知不覺(jué)中就向攻擊者提供了訪(fǎng)問(wèn)帳戶(hù)所需的最后一條信息����。
這種攻擊的簡(jiǎn)單性在GitHub工具包中得到了說(shuō)明���,該工具包可自動(dòng)執行中間人流程���。發(fā)布此代碼的研究人員是出于教育目的��,但同時(shí)也使公眾可以輕松獲得惡意工具包��。
惡意的OAuth的應用程序
這些攻擊利用OAuth標準的普遍性進(jìn)行訪(fǎng)問(wèn)授權��。每個(gè)云服務(wù)都允許用戶(hù)訪(fǎng)問(wèn)網(wǎng)站或第三方授權應用程序�,并且無(wú)需持續使用其用戶(hù)名和密碼登錄����,通過(guò)OAuth令牌授予這些網(wǎng)站和應用程序帳戶(hù)訪(fǎng)問(wèn)權限����。然而�,由于授予權限的過(guò)程非??焖?����、簡(jiǎn)單和方便���,人們很容易(并且已經(jīng))被誘騙授權惡意應用程序���。
這些攻擊集中在接收指向原始供應商站點(diǎn)的網(wǎng)絡(luò )釣魚(yú)鏈接(通過(guò)電子郵件�����、短信或其他方法)�。在這種類(lèi)型的攻擊中�����,用戶(hù)單擊鏈接請求其用戶(hù)名和密碼��。一旦完成��,該頁(yè)面會(huì )請求訪(fǎng)問(wèn)第三方應用程序的權限����,在用戶(hù)同意后���,惡意軟件就可以完全訪(fǎng)問(wèn)該帳戶(hù)��。想象一下����,如果用戶(hù)是CTO或CIO���,無(wú)意中授予了對企業(yè)整個(gè)Active Directory的訪(fǎng)問(wèn)權限�����,從而使業(yè)務(wù)完全開(kāi)放��,后果不堪設想�。
瀏覽器劫持
這可以說(shuō)是最危險的攻擊形式����。隨著(zhù)云在我們的職業(yè)和個(gè)人生活中逐漸標準化�,幾乎我們所做的一切事情都是通過(guò)瀏覽器完成�。網(wǎng)上銀行���、購物�、共享公司文件�����、視頻會(huì )議等�����。為了簡(jiǎn)化這一點(diǎn)�����,所有現代瀏覽器都依賴(lài)于與瀏覽器具有相同訪(fǎng)問(wèn)權限和權限的擴展或插件�����。無(wú)論瀏覽器“看到”什么�,插件都可以訪(fǎng)問(wèn)�����。
舉個(gè)例子�����,用戶(hù)收到一個(gè)釣魚(yú)鏈接���,要求他們下載一個(gè)特定的擴展�����。攻擊者使用社會(huì )工程技術(shù)來(lái)獲得人們的信任�,并安裝偽裝成合法的�、通常甚至是眾所周知的應用程序的插件����。安裝后�,該插件可以輕松地從瀏覽器中抓取所有數據���,包括MFA代碼�����、銀行詳細信息和其他敏感文本����。
披著(zhù)羊皮的狼
一些企業(yè)將谷歌���、Dropbox或SharePoint等合法云服務(wù)列入白名單�,因此很容易在這些服務(wù)上設置釣魚(yú)頁(yè)面���。事實(shí)上����,雖然仍有必要尋找可疑的域名���,但這已經(jīng)變得特別具有挑戰性�����。人們通常認為���,如果一個(gè)域名看起來(lái)是合法的����,那么這個(gè)網(wǎng)站就可以被信任����。此外����,網(wǎng)絡(luò )釣魚(yú)攻擊不再僅僅局限于電子郵件�,短信和電話(huà)詐騙也變得越來(lái)越普遍�,通過(guò)協(xié)作渠道甚至社交媒體進(jìn)行的攻擊也越來(lái)越普遍��,可見(jiàn)數據安全的威脅無(wú)處不在���。
沒(méi)有任何一種安全防御設備能實(shí)現一勞永逸�����,今天����,最好的防御形式是通過(guò)對系統內部與外部進(jìn)行全面安全防御��。人們很容易出現人為錯誤����,所以安全是一個(gè)長(cháng)期話(huà)題���。隨著(zhù)黑客逐漸針對系統漏洞進(jìn)行攻擊����,安全防御也應從被動(dòng)防守轉到主動(dòng)防御上來(lái)�����,企業(yè)需要從不同層面加強安全建設�����。建議在應用軟件開(kāi)發(fā)初期��,通過(guò)悟空和開(kāi)源代碼安全測試等手段�����,減少安全漏洞/降低運行時(shí)缺陷從而增強軟件防御漏洞攻擊能力��,同時(shí)部署安全可靠的安全設備及軟件��,防守惡意軟件攻擊����。同樣重要的是��,沒(méi)有任何一項安全防護手段是100%有效的��,時(shí)刻警惕安全事故發(fā)生��,做好網(wǎng)絡(luò )攻擊應急準備可以降低受攻擊的風(fēng)險����,減少經(jīng)濟損失���。
參讀鏈接:
https://beta.darkreading.com/endpoint/3-ways-cybercriminals-are-undermining-mfa
本文作者:��, 轉載請注明來(lái)自
# 安全漏洞 # 惡意軟件
