在当前的网络安全环境中,凭证盗取依然是导致大多数数据泄露的主要原因。尽管多因素认证MFA作为一种防止账户被盗的重要控制措施,然而它并未被广泛采用。近年来,有充分的证据表明,用户逐渐接受并期待MFA成为日常登录体验的一部分。
考虑到这一点,首席信息安全官CISO必须思考当MFA覆盖率相较于现在明显提升时,攻击者会如何应对。如今,组织的攻击目标不仅仅在于账户是否受到MFA的保护,而是攻击者绕过MFA的难易程度。
在当今的威胁环境中,安全领导者应该评估哪些身份验证流程需要抵御钓鱼攻击。
最常见的MFA绕过方式是,当对手利用盗取的凭证时并未被提示进行MFA挑战。这种情况有时是由于某种配置错误所致:例如,如果管理员未明确拒绝对Exchange Online的传统身份验证,则访问Microsoft 365并不总是需要MFA。我们的研究显示,如果未正确配置,这类攻击的目标组织被攻击的可能性要高出50倍。
同样,信息窃取恶意软件盗取会话Cookie也为攻击者提供了机会,使他们能够在未被提示进行MFA挑战的情况下劫持合法浏览器会话。
如果攻击者之前已经破坏了用于身份验证或密码重置令牌的可信通道,例如SIM交换攻击或者令牌发送到被攻破的电子邮件账户,他们也能绕过MFA。当这发生时,用于验证登录事件的秘密将发送到攻击者控制的设备或用户账户。
其次最常见的MFA绕过形式是来自钓鱼攻击及其他社交工程形式。
大多数商业钓鱼工具包被设计用来捕获目标的用户名和密码,以及用于在MFA挑战中验证用户的一次性密码OTP。钓鱼工具包通常会将这些被盗得的凭证直接发送到Telegram频道或其他在线论坛,以便在OTP过期之前使用它们。当OTP过期时,我们通常会观察到攻击者进行第二阶段的社交工程攻击,有时会通过电话直接联系目标,或进行MFA疲劳攻击。
然而,最常导致账户被盗的钓鱼攻击方式却有些不同。它们使用实时对手中间人AiTM钓鱼代理。与静态钓鱼活动一样,目标会被诱导输入凭证到攻击者控制的钓鱼网站。但当该钓鱼网站充当代理时,它会将用户凭证转发到用户企图登录的合法网络应用,并将大多数MFA挑战在用户和合法网络应用之间来回转发。这使得攻击者能够捕获用户凭证并拦截合法网络应用返回给目标浏览器的会话令牌。
白鲸加速器下载安装实时钓鱼活动因此能够绕过任何依赖于密码和通过身份验证器应用生成或通过短信和邮件发送的OTP的身份验证流程。
自2017年首次引入AiTM能力以来,我们观察到其不断增多的趋势。在2022年底,随着这些能力被更多技能较低的攻击者通过提供“即服务”的基础设施、配置和钓鱼模板进行租赁,攻击数量急剧增加。钓鱼即服务使得之前仅可被特定攻击者使用的能力变得更加普遍,所有动机的攻击者都在利用这一点。
根据美国国家标准与技术研究院NIST的说法,[钓鱼抵抗](https//wwwnistgov/blogs/cybersecurityinsights/phishingres
