对于试图通过撞库攻击进行帐户接管欺诈的犯罪分子来说,多因素身份验证 (MFA) 增加了障碍,但攻击者已经找到了绕过 MFA 的方法,这意味着 MFA 本身并不能消除帐户接管的威胁。 企业需要采取额外措施来加强 MFA 的安全性,包括机器人缓解和上下文风险监控。
无论其存在哪些缺陷,MFA 都是向前迈出的重要一步,因为纯密码身份验证显然已经失败了。 我们人类根本无法记住长串的字符,因此我们会走捷径,选择简单、可预测的密码并在应用之间重复使用密码,所有这些都导致了许多安全漏洞。
然而,随着密码的失效和 MFA 的采用,我们看到针对 MFA 的攻击有所增加,例如:
实时网络钓鱼代理
在实时网络钓鱼代理 (RTPP) 攻击中,欺诈者使用网络钓鱼消息欺骗用户访问看起来像受信任站点的攻击者控制的站点,诱使用户输入其凭据并批准第二因素身份验证请求,无论是短信还是推送通知。 RTPP 将凭证转发给目标应用程序并获得访问权限。 要查看此次攻击的演示,请观看黑客兼安全顾问 Kevin Mitnick 制作的这段视频,要了解实时网络钓鱼代理增长的背景信息,请参阅F5 实验室的网络钓鱼和欺诈报告。
外交部爆炸案
在MFA 轰炸攻击中,攻击者通过发送多个欺诈性代码请求来诱骗目标向其提供身份验证代码。 这对于依赖推送通知的身份验证器应用程序最有效,因为用户只需按一下按钮就可以轻松地停止大量请求。 攻击者有时会将 MFA 轰炸与社会工程学相结合,以鼓励用户接受推送通知并授予访问权限。
生物特征欺骗
攻击者甚至绕过了生物特征认证。 毕竟,我们的指纹随处可见,几乎在我们触摸的每个光滑表面上,这些指纹可以被任何东西收集和复制,从 3D 打印机到小熊软糖原料。 安全研究人员还展示了面部和语音识别以及虹膜扫描的欺骗技术。 尽管供应商已经开发出活体检查等反欺骗技术来检测绕过尝试,但随着攻击者不断改进技术,任何给定的生物识别设备都可能变得脆弱。
SIM 卡交换
SIM 卡交换是指欺诈者利用服务提供商将电话号码转移到另一台设备的能力。 诈骗者收集受害者的个人信息,然后通过社会工程手段让支持人员将受害者的电话号码转移到诈骗者的 SIM 卡上。 通过控制受害者的电话服务,欺诈者会收到发给用户的短信,从而拦截一次性密码 (OTP) 并绕过 MFA。
由于 MFA 比仅有密码的身份验证有了显著的改进,它将继续存在,因此网络安全从业者必须解决它的漏洞。
一个好的开始方式是缓解机器人的影响。 利用密码重用漏洞,攻击者部署机器人来测试被盗凭证是否符合登录条件,这是 OWASP 定义的一种技术,称为撞库攻击,可让他们绕过 MFA 中的第一个因素。 攻击者还在 RTPP 攻击中使用机器人在 OTP 过期之前将其转发到目标站点。 MFA 轰炸同样是一种依赖机器人的自动攻击。 通过有效的机器人管理解决方案,安全团队可以夺走攻击者用来扩展 MFA 绕过技术的关键工具。
减轻 MFA 漏洞的另一种方法是考虑上下文风险。 情境风险可以通过用户的 IP 地址、ISP、位置、时间、设备、访问的功能和行为来确定,所有这些都可以用来在用户浏览应用时计算风险分数。 分数越高,身份验证要求越严格,最终可能导致帐户被禁用。