如何對有雙因子認證站點進行釣魚攻擊？

本文講的是<b>如何對有雙因子認證站點進行釣魚攻擊？</b>，

我們假設攻擊者已經獲得了一組有效的員工登入憑據，而這時如果您沒有多因素身份驗證（MFA），那麼攻擊者毫無疑問就像是中了大獎，因為他們可以快速的獲得該使用者名和密碼下的公開資産。

但是如果你有MFA呢？比如您有一個需要認證登入的門戶來作為您敏感的公共資産的守護者，并且它受到MFA的保護。

這樣你就認為你的站點是安全的，對嗎？

事實并非如此。

也許您的站點登入情況對于那些是使用受到破壞的憑據的站點來說是相對安全的。然而，攻擊者仍然可以通過MFA程序進行網絡釣魚，并通路受保護的資源。讓我們來看看這個執行個體：

剛剛發生了什麼？

這是一個實時網路釣魚的例子。就像在标準的網絡釣魚攻擊一樣，攻擊者說服受害者通路一個假登入門戶。通過收集使用者的MFA令牌并将其實時送出給真實的登入門戶，攻擊者成功的對MFA保護的站點進行了身份驗證。然後，受害者被重定向，并顯示其登入嘗試未成功。

這種攻擊說明了大多數一次性密碼（OTP）系統主要受到哪些的影響：短信，語音，電子郵件，認證器應用等都是。

當然這種攻擊類型并不是新出現的。 

事實上，這樣的MFA解決方案長期依賴都存在缺陷。而當攻擊者正在進行實時網路釣魚的時候，相對應的企業或者其他組織應該意識到并對其進行有效的控制，以檢測和/或防止這種類型的攻擊。 

就個人而言，我預計進行自動實時MFA網絡釣魚攻擊的百分比會不斷上升。事實上，當我完成了自己的PoC工具之後，另一位研究人員也公開釋出了一個利用網絡釣魚MFA令牌的想法的工具。

那麼如何防止這樣的攻擊？ 

如前所述，這不是MFA中的一個漏洞，隻是一次性密碼不是為了防護而設計的。目前最好的預防方法是通過強密碼來執行互相認證，完全從方程式中移除使用者。

另外，通用第二因素（U2F）認證已被建立，其作為更強大的第二個認證因素。許多現代MFA解決方案依賴于使用者識别他們認證的服務是合法的。在上述的網絡釣魚情形中，攻擊者故意試圖欺騙受害者，将其MFA令牌提供給受控域名。

U2F可以從方程式中移除使用者。U2F使用硬體令牌，當激活時，使用公鑰加密（PKI）來執行強認證，證明使用者和服務是合法的。即使使用者被釣魚，并且攻擊者獲得密碼，攻擊者也将缺少驗證所需的硬體令牌。

什麼是檢測這種攻擊的最佳方法？

毫無疑問，這需要我們去監控可疑活動和安全分析的登入事件。特别是去注意這一點： 

1. 登入地點的分散 – 使用IP地理定位資訊将允許您檢測到攻擊者從與受害者非常不同的位置登入。許多企業使用者有多個裝置認證：電話，筆記本電腦，平闆電腦，但都位于同一個地方。而與其他使用者的“正常”登入相比，攻擊者從不同位置的登入最有可能成為可檢測的異常情況。

2. 多個成功認證的使用者都在一個新的位置，我們就可以猜測攻擊者對多個使用者實施了攻擊并且成功了。根據攻擊者的基礎設施，這些登入可能都來自同一個新的位置。除非所有這些員工都是第一次通路相同的位置并登入，否則這個事件可能需要進一步的調查。

原文釋出時間為：2017年7月29日

本文作者：Change 

本文來自雲栖社群合作夥伴嘶吼，了解相關資訊可以關注嘶吼網站。

<a href="http://www.4hou.com/info/news/6851.html" target="_blank">原文連結</a>