官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
使用多因素身份验证(MFA)是一个很好的安全防护手段,但与其他方式一样,它并非万无一失,而且不可能100%有效。
许多人认为多因素认证(MFA)是最终的网络防御手段,有了它,企业和个人“感觉”更安全,并认为这是一种万无一失的方式。毕竟,攻击者需要登录凭据和对辅助设备的访问权限才能破坏系统。然而,这种错误的安全感是危险的,因为伴随恶意软件和网络攻击手段不断提升,绕过这些保护措施已经变得相对容易。
就像我们可以通过复杂的网络安全防护技术来加强系统一样,网络犯罪分子也可以使用相同的技术来利用弱点。他们甚至可以使用合法的基础设施绕过MFA并访问公司网络和个人数据从而威胁到我们的软件安全及数据安全。以下是恶意软件常用并取得成功的攻击方式。
中间人攻击
一种普遍的攻击方法是中间人(MitM)或反向Web代理攻击。在这种情况下,恶意用户通过电子邮件或短信发送链接,将目标指向一个类似(几乎完全一样)合法网站的钓鱼网站。实际上,即便是经过训练的眼睛也不一定能分辨出其中的真伪。
例如,假设银行的登录页面使用了双因素身份验证(2FA)。攻击者知道,即使有用户名和密码,他们也无法访问该网站。因此,他们在钓鱼页面和实际服务之间设置了反向网络代理(因此得名“中间人”)。
当用户在钓鱼网站上输入真实凭据时,它会与合法服务通信,后者又将第二因素令牌或代码发送给用户。当用户在钓鱼网站上提交身份验证代码时,不知不觉中就向攻击者提供了访问帐户所需的最后一条信息。
这种攻击的简单性在GitHub工具包中得到了说明,该工具包可自动执行中间人流程。发布此代码的研究人员是出于教育目的,但同时也使公众可以轻松获得恶意工具包。
恶意的OAuth的应用程序
这些攻击利用OAuth标准的普遍性进行访问授权。每个云服务都允许用户访问网站或第三方授权应用程序,并且无需持续使用其用户名和密码登录,通过OAuth令牌授予这些网站和应用程序帐户访问权限。然而,由于授予权限的过程非常快速、简单和方便,人们很容易(并且已经)被诱骗授权恶意应用程序。
这些攻击集中在接收指向原始供应商站点的网络钓鱼链接(通过电子邮件、短信或其他方法)。在这种类型的攻击中,用户单击链接请求其用户名和密码。一旦完成,该页面会请求访问第三方应用程序的权限,在用户同意后,恶意软件就可以完全访问该帐户。想象一下,如果用户是CTO或CIO,无意中授予了对企业整个Active Directory的访问权限,从而使业务完全开放,后果不堪设想。
浏览器劫持
这可以说是最危险的攻击形式。随着云在我们的职业和个人生活中逐渐标准化,几乎我们所做的一切事情都是通过浏览器完成。网上银行、购物、共享公司文件、视频会议等。为了简化这一点,所有现代浏览器都依赖于与浏览器具有相同访问权限和权限的扩展或插件。无论浏览器“看到”什么,插件都可以访问。
举个例子,用户收到一个钓鱼链接,要求他们下载一个特定的扩展。攻击者使用社会工程技术来获得人们的信任,并安装伪装成合法的、通常甚至是众所周知的应用程序的插件。安装后,该插件可以轻松地从浏览器中抓取所有数据,包括MFA代码、银行详细信息和其他敏感文本。
披着羊皮的狼
一些企业将谷歌、Dropbox或SharePoint等合法云服务列入白名单,因此很容易在这些服务上设置钓鱼页面。事实上,虽然仍有必要寻找可疑的域名,但这已经变得特别具有挑战性。人们通常认为,如果一个域名看起来是合法的,那么这个网站就可以被信任。此外,网络钓鱼攻击不再仅仅局限于电子邮件,短信和电话诈骗也变得越来越普遍,通过协作渠道甚至社交媒体进行的攻击也越来越普遍,可见数据安全的威胁无处不在。
稳妥的安全防护方式
没有任何一种安全防御设备能实现一劳永逸,今天,最好的防御形式是通过对系统内部与外部进行全面安全防御。人们很容易出现人为错误,所以安全是一个长期话题。随着黑客逐渐针对系统漏洞进行攻击,安全防御也应从被动防守转到主动防御上来,企业需要从不同层面加强安全建设。建议在应用软件开发初期,通过悟空静态代码检测和开源代码安全测试等手段,减少安全漏洞/降低运行时缺陷从而增强软件防御漏洞攻击能力,同时部署安全可靠的安全设备及软件,防守恶意软件攻击。同样重要的是,没有任何一项安全防护手段是100%有效的,时刻警惕安全事故发生,做好网络攻击应急准备可以降低受攻击的风险,减少经济损失。
参读链接:
https://www.woocoom.com/b021.html?id=183f2c345a00497dbc74c3849cb6108e
https://beta.darkreading.com/endpoint/3-ways-cybercriminals-are-undermining-mfa