HackerNews 编译,转载请注明出处:
黑客已找到多种绕过多因素认证(MFA)的方法,而九成安全专家仍然认为MFA能够完全防止账户被接管,网络安全公司警告道。
多因素认证常被誉为防止账户接管的“银弹”,用于保护用户在密码泄露后避免被黑客侵入。然而,黑客早已预见到这一障碍并已做好了反击准备。网络犯罪分子正发动数百万次攻击,旨在绕过MFA。
Proofpoint 2024年《Phish报告》显示,仅使用一个名为EvilProxy的MFA绕过工具,每个月就发起了超过100万次攻击。EvilProxy是一个钓鱼即服务工具包。
“然而,89%的安全专家认为MFA能够完全防止账户接管。显然,这之间存在脱节,”该公司表示。
威胁行为者至少使用六种方法绕过MFA,其中许多战术都相当复杂:
- 钓鱼攻击:网络罪犯诱使用户将MFA代码或登录凭证输入由攻击者控制的网站。MFA疲劳攻击:一旦威胁行为者获得了用户的密码,他们就会发起大量MFA推送通知,试图让用户困惑。受害者通常为了停止这些通知而批准访问请求。会话劫持:攻击者使用信息窃取恶意软件和其他手段在身份验证后窃取会话Cookie,这使得前面的MFA身份验证变得无效。SIM卡交换:如果用户依赖SMS验证码进行MFA,黑客可能尝试将目标的电话号码转移到自己的手中。为此,攻击者需要通过社会工程学手段操控移动运营商,或在组织内有内部人员协助。社交工程:黑客获取敏感凭证的另一种方式是通过直接询问。许多公司提供一种方式,允许远程员工重置密码和MFA设置,而无需亲自到场。如果没有适当的在线身份验证,攻击者可以通过欺骗IT帮助台交出伪造的员工凭证。中间人攻击:攻击者使用如Evilginx之类的专用钓鱼工具拦截会话令牌。然后,这些令牌会被转发给合法服务,攻击者因此获得访问权限。
此前,研究人员甚至成功地仅通过猜测6位数验证码绕过了微软的MFA实施。微软声称,MFA能够防止99%的账户被接管攻击。
Proofpoint指出,单靠MFA是不够的。
“毫无疑问,MFA为用户认证安全增添了重要的防护层。这使得威胁行为者更加难以突破。但上述绕过技术展示了为何仅依赖单一的安全防御机制是如此危险,”该公司表示。“攻击者能够适应并突破广泛部署的保护措施。”
Proofpoint建议,MFA应作为更大范围防御深度策略的一部分,额外的安全层次能在一个防御层被突破时减少成功攻击的可能性。
MFA工具并不相同,因此建议采用抗钓鱼的MFA。更安全的MFA方法包括硬件安全密钥(FIDO2)或生物识别技术。
通过部署端点检测与响应(EDR)工具来增强端点保护,是识别和缓解主机级别未经授权访问的一个安全层。
“投资于防御凭证钓鱼。大多数威胁行为者偏好使用高度针对性的社交工程钓鱼攻击来获取用户凭证,”Proofpoint指出。
其他措施包括安装专门的账户接管安全系统,能够检测、调查并自动响应云账户接管,教育用户识别钓鱼企图,并制定事件响应和恢复计划。
“准备应对最坏的情况。确保有一个明确的事件响应计划,包含快速撤销访问令牌和调查可疑登录的办法。”
消息来源:Cybernews, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
