如何對有雙因子認證站點進行釣魚攻擊?

2021-09-23 05:09:00 字數 1409 閱讀 3580

本文講的是如何對有雙因子認證站點進行釣魚攻擊?

我們假設攻擊者已經獲得了一組有效的員工登入憑據,而這時如果您沒有多因素身份驗證(mfa),那麼攻擊者毫無疑問就像是中了大獎,因為他們可以快速的獲得該使用者名稱和密碼下的公開資產。

這樣你就認為你的站點是安全的,對嗎?

事實並非如此。

也許您的站點登入情況對於那些是使用受到破壞的憑據的站點來說是相對安全的。然而,攻擊者仍然可以通過mfa程序進行網路釣魚,並訪問受保護的資源。讓我們來看看這個例項:

剛剛發生了什麼?

這是乙個實時網路釣魚的例子。就像在標準的網路釣魚攻擊一樣,攻擊者說服受害者訪問乙個假登入門戶。通過收集使用者的mfa令牌並將其實時提交給真實的登入門戶,攻擊者成功的對mfa保護的站點進行了身份驗證。然後,受害者被重定向,並顯示其登入嘗試未成功。

這種攻擊說明了大多數一次性密碼(otp)系統主要受到哪些的影響:簡訊,語音,電子郵件,認證器應用等都是。

當然這種攻擊型別並不是新出現的。 

事實上,這樣的mfa解決方案長期依賴都存在缺陷。而當攻擊者正在進行實時網路釣魚的時候,相對應的企業或者其他組織應該意識到並對其進行有效的控制,以檢測和/或防止這種型別的攻擊。 

就個人而言,我預計進行自動實時mfa網路釣魚攻擊的百分比會不斷上公升。事實上,當我完成了自己的poc工具之後,另一位研究人員也公開發布了乙個利用網路釣魚mfa令牌的想法的工具。

那麼如何防止這樣的攻擊?

如前所述,這不是mfa中的乙個漏洞,只是一次性密碼不是為了防護而設計的。目前最好的預防方法是通過強密碼來執行相互認證,完全從方程式中移除使用者。

另外,通用第二因素(u2f)認證已被建立,其作為更強大的第二個認證因素。許多現代mfa解決方案依賴於使用者識別他們認證的服務是合法的。在上述的網路釣魚情形中,攻擊者故意試圖欺騙受害者,將其mfa令牌提供給受控網域名稱。

u2f可以從方程式中移除使用者。u2f使用硬體令牌,當啟用時,使用公鑰加密(pki)來執行強認證,證明使用者和服務是合法的。即使使用者被釣魚,並且攻擊者獲得密碼,攻擊者也將缺少驗證所需的硬體令牌。

什麼是檢測這種攻擊的最佳方法?

毫無疑問,這需要我們去監控可疑活動和安全分析的登入事件。特別是去注意這一點: 

1. 登入地點的分散 – 使用ip地理定位資訊將允許您檢測到攻擊者從與受害者非常不同的位置登入。許多企業使用者有多個裝置認證:**,膝上型電腦,平板電腦,但都位於同乙個地方。而與其他使用者的「正常」登入相比,攻擊者從不同位置的登入最有可能成為可檢測的異常情況。

2. 多個成功認證的使用者都在乙個新的位置,我們就可以猜測攻擊者對多個使用者實施了攻擊並且成功了。根據攻擊者的基礎設施,這些登入可能都來自同乙個新的位置。除非所有這些員工都是第一次訪問相同的位置並登入,否則這個事件可能需要進一步的調查。

原文發布時間為:2023年7月29日

用噪音作口令 解決雙因子認證痛點

本文講的是用噪音作口令 解決雙因子認證痛點,去年,據說是從各路名人蘋果icloud賬戶竊取來的 開始在各大社交 上瘋傳時,蘋果公司在對該事件的回應中,鼓勵人們啟用所謂的 雙因子身份驗證 功能。想法其實很簡單 當你試圖登入到icloud賬戶時,蘋果會向你的手機傳送乙個四位數的驗證碼,你必須輸入這個驗證...

學習筆記 關於pam模組的應用(雙因子認證)

如何開發自己的pam 模組 1 首先要編寫.c檔案,封裝進入pam庫 touch my syz.c vim my syz.c 下邊為.c檔案的內容 pam extern int pam sm setcred pam handle t pamh,int flags,int argc,const cha...

目前雙因素認證廠商有哪些?該怎麼選?

雙因素認證是一種採用時間同步技術的系統,採用了基於時間 事件和金鑰三變數而產生的一次性密碼來代替傳統的靜態密碼。每個動態密碼卡都有乙個唯一的金鑰,該金鑰同時存放在伺服器端,每次認證時動態密碼卡與伺服器分別根據同樣的金鑰,同樣的隨機引數 時間 事件 和同樣的演算法計算了認證的動態密碼,從而確保密碼的一...