如何對有雙因子認證站點進行釣魚攻擊？

本文講的是如何對有雙因子認證站點進行釣魚攻擊？，

我們假設攻擊者已經獲得了一組有效的員工登入憑據，而這時如果您沒有多因素身份驗證（mfa），那麼攻擊者毫無疑問就像是中了大獎，因為他們可以快速的獲得該使用者名稱和密碼下的公開資產。

這樣你就認為你的站點是安全的，對嗎？

事實並非如此。

也許您的站點登入情況對於那些是使用受到破壞的憑據的站點來說是相對安全的。然而，攻擊者仍然可以通過mfa程序進行網路釣魚，並訪問受保護的資源。讓我們來看看這個例項：

剛剛發生了什麼？

這是乙個實時網路釣魚的例子。就像在標準的網路釣魚攻擊一樣，攻擊者說服受害者訪問乙個假登入門戶。通過收集使用者的mfa令牌並將其實時提交給真實的登入門戶，攻擊者成功的對mfa保護的站點進行了身份驗證。然後，受害者被重定向，並顯示其登入嘗試未成功。

這種攻擊說明了大多數一次性密碼（otp）系統主要受到哪些的影響：簡訊，語音，電子郵件，認證器應用等都是。

當然這種攻擊型別並不是新出現的。

事實上，這樣的mfa解決方案長期依賴都存在缺陷。而當攻擊者正在進行實時網路釣魚的時候，相對應的企業或者其他組織應該意識到並對其進行有效的控制，以檢測和/或防止這種型別的攻擊。

就個人而言，我預計進行自動實時mfa網路釣魚攻擊的百分比會不斷上公升。事實上，當我完成了自己的poc工具之後，另一位研究人員也公開發布了乙個利用網路釣魚mfa令牌的想法的工具。

那麼如何防止這樣的攻擊？

如前所述，這不是mfa中的乙個漏洞，只是一次性密碼不是為了防護而設計的。目前最好的預防方法是通過強密碼來執行相互認證，完全從方程式中移除使用者。

另外，通用第二因素（u2f）認證已被建立，其作為更強大的第二個認證因素。許多現代mfa解決方案依賴於使用者識別他們認證的服務是合法的。在上述的網路釣魚情形中，攻擊者故意試圖欺騙受害者，將其mfa令牌提供給受控網域名稱。

u2f可以從方程式中移除使用者。u2f使用硬體令牌，當啟用時，使用公鑰加密（pki）來執行強認證，證明使用者和服務是合法的。即使使用者被釣魚，並且攻擊者獲得密碼，攻擊者也將缺少驗證所需的硬體令牌。

什麼是檢測這種攻擊的最佳方法？

毫無疑問，這需要我們去監控可疑活動和安全分析的登入事件。特別是去注意這一點：

1. 登入地點的分散 – 使用ip地理定位資訊將允許您檢測到攻擊者從與受害者非常不同的位置登入。許多企業使用者有多個裝置認證：**，膝上型電腦，平板電腦，但都位於同乙個地方。而與其他使用者的「正常」登入相比，攻擊者從不同位置的登入最有可能成為可檢測的異常情況。

2. 多個成功認證的使用者都在乙個新的位置，我們就可以猜測攻擊者對多個使用者實施了攻擊並且成功了。根據攻擊者的基礎設施，這些登入可能都來自同乙個新的位置。除非所有這些員工都是第一次訪問相同的位置並登入，否則這個事件可能需要進一步的調查。

原文發布時間為：2023年7月29日