多年来,网络防御者一直将多因素身份验证 (MFA) 吹捧为所谓的防止帐户接管的“灵丹妙药”。随着网络犯罪分子不断加强他们的社会工程工作,MFA 迅速成为受骗用户和成功的凭据网络钓鱼攻击之间的选择障碍。然而,正如安全专业人员都非常清楚的那样,没有什么能阻止机会主义威胁行为者长期跟踪他们的踪迹。
|
新建一个网络安全等级保护交流群,欢迎一起探讨!
|
我们现在看到,由于 MFA 的广泛采用,威胁格局开始发生转变。网络犯罪分子正在转向利用 MFA 的弱点——从简单地用身份验证请求警报淹没用户到更复杂的网络钓鱼工具包会危及身份验证令牌。
威胁行为者现在意识到窃取凭据和登录比试图通过技术控制进行黑客攻击更有效(也更便宜)。一旦他们从一名员工那里窃取了访问详细信息,他们就会横向移动,窃取更多凭据,危及服务器和端点,并下载敏感的组织数据——现在攻击者很容易将一个受损的身份转变为组织范围的勒索软件事件或数据泄露。
虽然 MFA 仍然是帐户接管的重要预防控制措施,但组织必须意识到仅仅实施这一额外的身份验证层已经不够了。安全团队需要考虑他们现有的检测控制措施,以便在造成太大损害之前发现受感染的用户。
正宗交付
MFA 可以通过添加另一层帐户安全来帮助减少组织的攻击面。它用另一个只有用户拥有的因素(例如他们的手机)来补充用户名和密码模型。然而,正如新漏洞所显示的那样,MFA 本身并不能提供足够的安全性。需要考虑的两个关键方面是用户如何获得辅助身份验证方法以及被攻击者窃取的难易程度。
电子邮件是向用户提供身份验证代码的一种选择——但这个选项可以说是最不安全的,如果用户的电子邮件帐户也被盗用,用户就容易受到攻击,如果攻击者已经拥有他们的凭据,这种情况就更有可能发生。
通过 SMS 发送的一次性代码是另一种选择。虽然这比没有额外的身份验证要好,但它相对不可靠——而且短信很容易被拦截和欺骗。恶意行为者还使用“sim 劫持”,他们冒充并控制用户的电话号码。使用您的电话号码,黑客可以拦截通过短信发送的任何双因素身份验证代码。
使用安装在用户设备上的验证器是更好的选择。身份验证器显示用户可以输入身份验证系统的 PIN,这是第二步。然而,这仍然可以通过使用社会工程来绕过。例如,针对特定个人的攻击者可能会在窃取凭据后致电他们,以说服目标用户也提供 MFA 令牌。
社会工程学超载
与大多数网络攻击一样,社交工程是成功窃取用户 MFA 代币的核心。网络罪犯不仅利用技术,还利用人性的弱点。下面,我们来看看威胁参与者用来绕过 MFA 的策略:
MFA 警报疲劳
您可能想知道,如果用户的 MFA 令牌位于移动设备上或应用程序中,网络犯罪分子如何有效地获取该令牌。好吧,许多 MFA 提供商允许用户接受电话应用程序推送通知或接听电话并按一个键作为第二个因素,网络犯罪分子正在利用这一点。
我们现在看到恶意攻击者通过一波“MFA 疲劳攻击”以用户为目标,他们以前所未有的速度用 MFA 推送通知轰炸受害者,以诱使他们对登录尝试进行身份验证。这种策略相对简单——快速连续向用户发送垃圾邮件,以便他们最终批准登录尝试以停止警报。
MFA 网络钓鱼工具包
重要的是要注意,虽然许多用户没有意识到这种威胁,但这并不是什么新鲜事。Proofpoint 的威胁研究人员在两年前验证了绕过 MFA 的漏洞,但威胁参与者现在正在展示更复杂的方法。
我们现在看到网络犯罪分子使用指定工具来执行 MFA 旁路攻击。例如,我们的安全研究人员发现,旨在通过窃取会话 cookie 来规避 MFA 的网络钓鱼工具包在地下网络犯罪中越来越流行。 虽然 MFA 网络钓鱼工具包已经存在多年,但今天令人担忧的是这些 MFA 网络钓鱼工具包的迅速采用和传播。
阻止旁路
尽管网络犯罪分子越来越多地试图绕过这项技术,但 MFA 仍将是帐户接管的重要预防控制措施。大多数领先组织都实施了 MFA,并且在很大程度上能够抵御凭据网络钓鱼多年。
为了继续获得 MFA 的回报,组织必须评估他们检测帐户泄露的能力,而不仅仅是防止它。虽然 MFA 绕过感觉像是一个相对较新的安全挑战,但我们看到的攻击链已经过尝试和测试。网络罪犯以人为目标,其中大多数攻击都是从电子邮件开始的,目的是诱骗用户交出凭据并授予组织访问权限。
组织必须认识到强大的电子邮件安全性的必要性——因为大多数攻击都是从这里开始的。确保 MFA 控制成功的关键第一步是首先使用可以检测恶意 URL 的现代电子邮件安全来阻止威胁到达用户。
接下来,组织需要实施技术来识别和响应受感染的用户,并消除攻击者完成犯罪所需的东西:特权帐户访问。一种独特的身份威胁检测和响应 (ITDR) 方法将帮助组织修复特权身份风险并了解妥协的潜在后果,例如访问关键数据和知识产权。
最后,组织必须使用下一代数据丢失防护 (DLP) 解决方案来保护数据,以防止数据落入坏人之手。
通过实施强大的技术控制,组织可以消除员工的猜测——很多技术都需要在这里出错,用户才会犯错。然而,与所有威胁一样,人员、流程和技术的结合至关重要,因此安全团队应确保他们提高员工对绕过 MFA 的危险的认识,以帮助他们的用户识别非法警报。
思维导图下载:GB-T 39276-2020 网络产品和服务安全通用要求
原文始发于微信公众号(河南等级保护测评):网络罪犯如何绕过多因素身份验证
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论