2022年，身份安全加速成为网络安全对话的前沿。当涉及到应用程序、密码和设备的使用时，大多数用户习惯在专业活动和个人活动之间切换，基于身份的攻击已经成为威胁行为者的首选渗透方法。这些攻击活动的复杂程度和规模各不相同，但它们都可能对组织的数字环境、业务运营和声誉产生毁灭性的影响。

多因素身份认证（MFA）已迅速成为身份安全的常见组成部分，组织争相注册用户及其设备，以试图遏制账户被占用。虽然MFA可能是组织抵御这些攻击的首选数字防御手段，但实际上，这通常是远远不够的。从每周都有新闻报道的一系列高调的基于身份的攻击就可以看出，即使是MFA也可以被现代身份攻击技术所绕过。要挫败网络攻击者，首先要了解他们绕过MFA的技术，然后用一种全面的、多层的身份安全策略来应对，以填补这些空白。

威胁行为者围绕MFA的主要攻击策略

通常来说，基于身份的攻击大多始于社会工程网络钓鱼活动，诱骗受害者在不知不觉中提供他们的登录凭据。一旦获得用户名和密码，攻击者就会开始应用多种技术来绕过MFA：

1. MFA疲劳

试想一下，用户在一周内会收到多少次一次性代码或推送通知。从他们最喜欢的电子商务品牌结账信息到通过云访问其工作电子邮件，当他们在手机上收到提醒时，用户已经习惯于简单地遵循MFA的指示。

许多网络攻击者现在正利用用户这种习惯因素来确保当他们试图非法登录设备而设备推送通知出现时，终端用户会在没有质疑甚至是察觉的情况下按下“允许”按键。

2. MFA洪水

类似于利用受害者的MFA疲劳，MFA洪水通过不断的推送通知让受害者精疲力竭。最终，受害者可能会对不断的警报感到沮丧和厌倦，他们可能最终会妥协，点击“允许”按钮来获得一些和平和安静，而威胁者则开始制造混乱。

3. 中间人（AiTM）代理

AiTM攻击指的是网络犯罪分子拦截受害者和合法软件之间的通信。例如，攻击者可以创建一个看起来和操作起来很像在线银行的真正单点登录（SSO）的登录页面，使受害者不仅自愿输入他们的用户名和密码，而且还愿意输入他们的一次性代码。或者，他们可以在向钓鱼网站输入凭据后同时收到推送通知，假设请求来自他们自己的设备，他们就会按下“允许”键。实际上，威胁行为者只是在幕后工作，利用自动化将通过钓鱼网站获得的被盗凭据同时输入到真实的登录页面。

4. MFA重置

攻击者通常也会通过绕过目标受害者转而选择联系他们的IT帮助台来绕过MFA。通过假装受害者，他们可以要求好心的IT帮助台技术人员重置他们的账户，因为声称丢失了设备，这将允许他们在登录时注册一个新的因素，或者在MFA政策提供的重置宽限期内采取行动。

5. SIM卡交换攻击

在SIM卡交换攻击中，攻击者会冒充受害者并要求网络提供商将受害者的电话号码转移到他们拥有的另一张SIM卡上。他们通常会谎称丢失了原来的号码，想移植到一个新的号码。

当网络提供商启动端口时，攻击者将开始接收受害者的所有消息和通知。他们会尝试登录受害者的帐户，并输入系统发送到他们号码的验证码。

对于这种情况，您可以通过要求网络提供商在您的账户上创建一个端口阻塞来防止SIM卡交换攻击，这样就没有人能够用您的号码做这件事，尤其是通过电话。您还可以添加除短信以外的其他认证媒介。基于设备的身份验证，即系统将代码发送到您连接到帐户的特定移动设备就足够了。

6. 通道劫持

通道劫持是指攻击者通过感染恶意软件强行接管受害者的手机、应用程序或浏览器等通道的过程。攻击者可以使用中间人（MitM）黑客技术窃听受害者的通信并检索其在该通道上传输的所有信息。

如果您在单个通道上设置了MFA身份验证，一旦威胁行为者拦截它，他们就可以访问和利用通道接收到的MFA代码。

通过使用虚拟专用网络（VPN）隐藏您的IP地址，并仅限浏览更安全的HTTPS网站，可以减少网络犯罪分子利用MFA的机会。

7. 基于OTP的攻击

一次性密码（OTP）是系统自动生成并发送给试图登录应用程序以验证其身份的用户的代码。作为反黑客措施，无法提供OTP的网络攻击者无法登录到所述网络。

网络威胁行为者会劫持包含OTP的介质，这样他们就可以访问它。为了防止MFA中基于OTP的漏洞，可以实现移动威胁防御（MTD）系统来识别和抵御可能暴露代码的威胁向量。

8. 恢复攻击

恢复攻击者指的是黑客利用受害者忘记登录凭据并试图恢复它们以获得访问权限的情况。当受害者通过替代方法启动恢复过程的操作时，他们会破坏这些访问信息的方法。

防止恢复尝试的一种有效方法是使用密码管理器来存储密码，这样就不会忘记密码并求助于恢复选项。

积极主动的身份安全计划来填补MFA空白

一旦了解了网络攻击者用来绕过MFA的技术，接下来的问题自然是:“我的组织如何填补这些空白？”这就是积极主动的身份安全至关重要的地方。一个全面的主动身份安全计划将包括三个功能：身份攻击面映射、身份安全态势管理和身份威胁检测与响应。

身份攻击面映射汇总来自组织整个数字架构的数据，以发现和分析企业内部的大量身份信息。这使安全团队能够深入了解信息数据，以及这些数据随着时间的推移而产生的变化。由于攻击面在新身份加入组织和旧身份离开组织时处于不断变化的状态，因此身份攻击面映射必须是一个连续的过程。

更进一步地说，身份安全态势管理旨在检查该身份攻击面以定位弱点——特别是容易遭到账户接管攻击的账户。不活跃的帐户就相当于一个未使用或未修补的服务器在被遗忘的壁橱中积累了无数灰尘。对于攻击者来说，这是一个很容易被利用的载体，如果帐户最近没有更改密码，并且缺乏第二因素配置，则更容易受到攻击。态势管理可以定位这些弱点，然后建议甚至实施活动来清除它们。

身份威胁检测和响应（ITDR）弥补了前两种功能的不足。不管组织的身份和访问管理（IAM）架构有多强大，也不管采取了多少预防措施，在当今这个动荡的网络环境中，总有一些东西会被攻破。IDTR是最后一道防线，昼夜不停地检测和响应可能表明帐户接管正在进行或已经发生的可疑活动。

要挫败网络攻击，需要了解用来绕过受MFA保护的用户的现代身份攻击技术，并以一个全面的、多层的身份安全策略来应对，以填补这些空白。

在现代工作场所，身份已经成为新的边界，网络攻击者比以往任何时候都更有能力绕过MFA。组织可以立即采取行动来阻止这些技术。通过一个全面和主动的身份安全计划，公司可以更有效地保护他们的用户和数据，以促进长期的业务成功。

参考及来源：https://www.makeuseof.com/multi-factor-authentication-vulnerabilities/