网络攻击者绕过MFA的方法及防御策略

2022年，身份安全已经处于网络安全对话的前沿，身份攻击已成为威胁行为者的主要网络渗透方法。这些攻击行为的复杂程度和规模各不相同，但可能都对企业的数字环境、业务运营和声誉产生破坏性影响。

多因素身份验证（MFA）已迅速成为身份安全的常见组成部分，虽然MFA可能是企业应对网络攻击的首选数字防御，但实际上，这种程度的防御手段远远不够。因此想要做好防御，首先需要了解攻击者常用的七种绕过MFA保护的手段，并以整体、全面的身份安全策略来应对、以填补空白。

通常，基于身份的攻击都来源于网络钓鱼活动，通过欺骗受害者获取其登录凭据来绕过MFA：

用户在一周内收到了多少次一次性代码或推送通知，从结账信息到通过云访问其工作电子邮件，用户已经习惯于收到MFA警告说明。许多网络攻击者则利用用户这种习惯因素来确保当他们试图非法登录设备而设备推送通知出现时，用户不会质疑甚至是察觉。

与MFA疲劳类似，但MFA洪水是通过大量的推送通知，让受害者习惯于不断弹出的通知信息，从而当威胁行为者开始登录设备时，用户会习惯性忽略信息。

AiTM攻击指的是，一名网络罪犯拦截受害者与合法软件之间的通信。例如，攻击者可以创建一个于在线银行等的单点登录（SSO）页面相似的登录页面，骗取受害者的用户名和密码。之后，威胁行为者则利用自动化工具将被盗凭证输入真正的登录页面。

攻击者通常选择绕过预期受害者，直接与其IT服务台联系。通过假装受害者丢失设备密码来重置帐户。

在向受害者发送MFA通知后，攻击者或将冒充IT服务台员工与受害者联系，并说服受害者共享其一次性密码，以便“IT员工”可以为他们解决MFA洪水或MFA疲劳等问题。

攻击者冒充用户，佯称原始的SIM卡丢失或被盗，说服电信提供商补发SIM卡。在安装新的SIM卡后，攻击者就可以用新卡来完成MFA检查、重置账户凭据。

0ktapus网络钓鱼活动在2022年造成了严重破坏，其影响程度、破坏规模前所未有。受影响企业包括Twilio、DoorDash和Signal等有130多个，时间跨度长达数月。

一个全面、完善的身份安全计划应该囊括三种功能：身份攻击表面映射、身份安全管理以及身份威胁检测和响应。

身份攻击表面映射汇总企业整个数字架构的数据，以发现和分析企业内部的身份信息量。让安全团队能够深入信息数据，以及随着时间的推移可能会发生怎样的变化。由于人事便变动，攻击面也处于不断变化的状态，因此身份攻击表面映射必须是一个持续的过程。

身份安全管理以便企业找到弱安全点，例如不活跃的账户。不活跃的帐户就相当于一个未使用或未修补的服务器在被遗忘的壁橱中积累了无数灰尘。通过管理可以找到这些弱点，及时清理以抵御攻击。

身份威胁检测和响应（ITDR）是企业的最后一道防线，无论企业的身份和访问管理（IAM）架构多么强大，在如今这个动荡的网络环境中，总会受到攻击威胁。而随着身份变得越来越重要，越来越多的攻击者也将目标放在了身份基础设施本身，因此企业必须更加专注于IAM基础设施的保护，ITDR技术则能够为其部署增加额外的保护层。

据Gartner在2022年发布的一份报告，ITDR或已成为未来网安领域的重要趋势。在该趋势之下，安全419注意到中安网星在ITDR理念的指导下，结合其自身对于身份威胁安全防护技术的落地理解，构建了一个ITDR智能化监控系统平台，该平台可统一实现对各类身份设施（AD、vCenter、PAM、IAM等）的监控和保护，有效维护IAM基础设施安全。

https://www.cpomagazine.com/cyber-security/seven-ways-cyber-attackers-bypass-mfa-and-how-to-stop-them/