使用 F5 BIG-IP APM 和分布式云机器人防御来保护 MFA 免受网络钓鱼代理的攻击

实时网络钓鱼代理攻击始于通过文本、电子邮件或网页发送的网络钓鱼消息。 网络钓鱼信息包含一个链接，该链接会将用户带到攻击者控制的域，该域旨在将所有请求代理到目标应用。 从用户的角度来看，除了域名之外，一切看起来都是合法的，域名通常与真实域名非常相似。 

用户被网络钓鱼代理欺骗，输入了他们的凭证。 在单因素身份验证的情况下，输入此凭证足以让攻击者访问该帐户。 在 2FA 的情况下，实时网络钓鱼代理将凭据发送到合法应用，从而触发 2FA 请求。 不幸的是，用户仍然相信他们正在使用合法应用，因此很可能会同意 2FA 并接受任何请求。 

反向网络钓鱼代理可以危害几乎所有形式的 2FA：

• 基于短信服务（SMS）的2FA。 在 SMS 2FA 中，身份验证系统会向用户发送一条短信，其中包含一次性密码 (OTP)，用户将其输入到应用程序中。在网络钓鱼代理攻击期间，用户将密码直接输入到恶意应用程序中，然后恶意应用程序将其代理到合法应用程序，从而授予犯罪分子访问权限。 当 OTP 通过电子邮件发送时，相同的逻辑也适用于 2FA。 如果该机制涉及用户在应用程序中输入 OTP，则实时网络钓鱼代理攻击可以访问该 OTP。
• 硬件令牌 2FA。 硬件令牌是一种按照加密算法以固定时间间隔生成密钥的物理设备，其用途与基于 SMS 的 2FA 中的 OTP 相同。 用户看着设备，在应用中输入密钥。 当实时网络钓鱼代理欺骗并将该密钥输入恶意应用时，攻击者便获得了该帐户的访问权限。 从某种意义上来说，通过短信、电子邮件或硬件传递令牌对于实时网络钓鱼代理来说没有区别。 （相比之下，FIDO2/U2F 硬件密钥不易被网络钓鱼，因为浏览器在原点绑定中与硬件密钥进行协作。）
• 基于应用程序的 2FA。 Google Authenticator 和 Duo Mobile 等移动身份验证器应用程序生成令牌的方式与硬件设备非常相似。 再次强调，用户需要在应用程序中输入令牌。如果用户被欺骗将令牌输入恶意应用程序中，攻击者便可访问真正的应用。
• 基于推送的 2FA。 当然，任何涉及用户在应用中输入 OTP 的 2FA 机制都可以通过欺骗用户在恶意应用中输入 OTP 来破解。 但是基于推送的 2FA 又如何呢？它不需要用户在应用中输入 OTP。 相反，在基于推送的系统中，应用在收到登录请求后，会触发推送通知系统请求，导致用户在其移动设备上收到通知。 用户只需单击一次即可接受请求。 一旦发生这种情况，推送通知系统就会向应用发出 API 调用，表明推送身份验证已成功，并且应用完成身份验证过程并授予用户访问权限。 在这种情况下，网络钓鱼代理永远不会收到令牌，因为它被直接传递给应用。 尽管如此，犯罪分子仍然可以访问该帐户，因为应用最终会通过代理将经过身份验证的会话令牌传递给应用，这使得攻击者可以捕获它并使用它来使用受害者的身份访问应用。

我们应该预计实时网络钓鱼代理攻击将会增加，因为网络钓鱼代理即服务 (PhaaS)（例如 EvilGinx、Muraena 和 Modlishka）为犯罪分子提供了发动这些攻击所需的一切，使犯罪分子能够非常轻松地进行攻击：

• 诱骗用户访问恶意网站的钓鱼电子邮件模板
• 模仿目标应用程序的托管 Web 服务器
• 存储被盗凭证的数据库
• 实时监控
• 阻止安全研究人员的防御机制
• 文档和客户服务

通过网络钓鱼代理的流量具有以下鲜明特征： 域名将与真实网站不匹配，HTML 和 JavaScript 可能会被更改以适应域名更改，并且时间和 TLS 签名可能会被更改。 分布式云机器人防御使用许多与区分机器人和人类相同的客户端和网络信号，可以检测区分实时网络钓鱼代理的异常，从而解决针对 MFA 的最常见威胁之一。

BIG-IP APM 是一种针对应用程序和 API 的灵活、高性能访问权限管理解决方案。 它通过将企业身份服务（例如 Active Directory、LDAP 提供程序和 RADIUS）连接到现代身份验证协议（例如 SSO、访问联合、OAuth 2.0、SAML 和 OIDC）为应用提供身份验证服务。 

BIG-IP APM 包括对分级身份验证的支持，提供开箱即用的基于 SMS 的 OTP 2FA。 此外，BIG-IP APM 与大多数领先的 MFA 解决方案集成，包括 Cisco Duo、Okta、Azure AD 等公司的解决方案。 

由于 BIG-IP APM 在许多企业的身份验证过程中发挥着核心作用，因此它是实施分布式云机器人防御的理想位置，以保护用户免受使用自动化绕过 MFA 保护的实时网络钓鱼代理攻击。