MFA 旁路 101

目录 Introduction03 什么是MFA？03 被盗凭证是绕过MFA的燃料04 MFA绕过方法05 预防措施07 SpyCloud的差异08 Introduction 在2020年SolarWinds攻击之后，美国国土安全部的网络安全和基础设施安全 机构（CISA）发布了咨询向组织发出警告，这不是一个独特的事件。突出显示越来越多的在COVID-19大流行期间，随着越来越多的员工开始使用公司和个人设备进行远程工作，CISA指出了常用网络安全措施的几个弱点。 特别令人感兴趣的是，越来越多的证据表明，犯罪分子成功地绕过了多因素身份验证(MFA) 损害云服务帐户。 正如我们的概述2022年年度身份凭证曝光报告，SpyCloud观察到信息窃取者激增(信息- 窃取恶意软件）日志在各种论坛和聊天组上分发和共享。一旦设备被感染，键盘笔划和系统信息被虹吸，暴露从登录凭据和浏览器历史记录到地理位置的详细信息， installedsoftware,autofillinfo,andevendeviceandwebsessioncookies.Thisinformationcanbeusedtocompletelybypass 身份验证和欺诈控制，包括MFA。 十年前，MFA被称为“魔术子弹”，这将使它变得更加困难罪犯闯入一个账户。今天，这只是决心的另一个障碍 黑客，他们开发了越来越多的绕过它的方法。 什么是MFA？ 任何关于MFA的讨论都必须从密码开始，尽管密码存在缺陷，但它的受欢迎程度并没有减弱。人们习惯于创建易于猜测的密码并在多个帐户中重复使用它们。对罪犯来说，这就像 把房子的钥匙放在前门的锁里——进入大门再容易不过了。 大约十年前，安全专家的回应是鼓励组织接受MFA。设计为安全 对标准用户名/密码组合的增强，MFA要求用户在记录之前提供两个证据到一个帐户。 今天，可接受的证据或“因素”通常相当于以下三个类别中的两个： •您知道的内容（密码、PIN或密码） •您拥有的东西（智能手机或物理令牌） •你是什么（你的指纹或脸） MFABypass101白皮书3 TheapparentbenuefitofMFAisadditionallayersofprotection.Theideaisthatmorefactorsshouldmakeithardersforapotential 入侵者可以访问帐户、系统或数据。MFA还可以帮助组织实现和维护合规性，这可以减少责任担忧。但是像所有网络安全措施一样，它也有其缺点。 •收养率普遍较低 根据LastPass的第三次年度密码安全报告，只有全球57%的企业 正在使用MFA而且它因国家而异。即使在那些更了解的人中，MFA也可能是一个障碍对于某些用户来说太多了。那是因为在大多数MFA实现中,密码仍然是必需的。所以现在除了要管理密码,用户还要管理额外的安全层。 •某些用户将接受任何MFA请求 有时罪犯甚至不需要在社会上设计某人来帮助他们。在SpyCloud，我们 从我们的客户顾问委员会成员那里听说，一些有义务的客户将接受任何MFA 请求，即使他们目前没有尝试登录任何内容。 被盗凭证是绕过MFA的燃料 根据微软的研究，账户“低于99.9%的可能性如果您使用MFA，则会受到损害。” 但这并没有考虑到已经被盗凭证的影响，这 在犯罪分子的市场和论坛上广泛可用，并参与了近 80%去年的违规行为。 为了让您了解犯罪分子可以使用的内容，在我们最近的身份曝光中报告,SpyCloud的安全研究人员分析了超过17亿个凭证 从数据泄露和受恶意软件感染的设备日志中重新捕获的对.Whenlooking 在前往ATO的途中绕过MFA，这些凭证对犯罪分子具有很高的价值几个原因： •重复使用密码意味着如果罪犯有登录信息 对于您的一个帐户，他们可以假设您使用相同的其他帐户的密码（或接近变体）。 •我们的大部分PII都愿意在社交媒体上分享罪犯可以用它来猜测常见MFA安全的答案问题(出生地、高中吉祥物等)。 •访问被盗的电话号码可以轻松进行SIM卡交换发生，犯罪分子拦截通过文本发送的MFA代码message. MFABypass101白皮书4 MFA绕过方法 如果说SolarWinds攻击有什么好处的话，那就是它提高了人们对罪犯容易、频繁和聪明地得到的认识在MFA周围，更不用说单个成功的旁路可能造成的破坏。虽然这些攻击可以承担许多技术 方法或方法的组合，可以安全地假设攻击者已经有了受害者的密码. 会话劫持 会话劫持是犯罪分子用来接管用户的网络会话的一种方法，而无需 通过登录凭据或MFA进行身份验证。当用户成功登录到Web应用程序时（使用因素，两个因素或十个因素），服务器在浏览器中设置临时会话cookie。这允许远程服务器，以记住您已登录并进行身份验证。Cybercriminals窃取会话cookies有多种方式，包括： •窃取信息的恶意软件 •中间人(MiTM)攻击 •引导用户单击包含已准备的会话ID的恶意链接 Withthe被盗的cookie，攻击者可以在自己的浏览器中控制会话-服务器是愚蠢地认为攻击者的连接与真实用户的原始会话相同。 一旦攻击者劫持了会话，他们就可以做原始用户被授权的任何事情根据目标网站，这可能意味着欺诈性地购买项目，访问详细的 可用于身份盗窃、窃取公司数据或流失的个人信息 银行帐户。会话劫持也可以作为犯罪分子发起勒索软件攻击的简单方法可以劫持公司VIP的会话，然后访问和加密有价值的公司数据。 用户名用户名用户名 密码密码密码 ••••••••••••••••••••• 登录登录登录 锻造识别设备 很多时候，应用程序将不需要来自用户以前登录过的设备的MFA。这是 有时称为自适应多因素身份验证(aMFA)。在这种情况下，攻击者可以尝试fiGureout 应用程序如何识别设备并伪造已识别或“可信设备”的签名。对于 例如，如果站点使用可预测的cookie标记已识别的设备，则攻击者可以添加该cookie 对他们的要求有价值。 用户名 密码 ••••••• 登录 网络钓鱼电子邮件 网络钓鱼是最古老的网络攻击类型之一，多年来一直在演变，但目标仍然是同样-欺骗电子邮件收件人相信该消息是他们想要或需要的东西，并 单击链接或下载附件。在MFA绕过攻击中，这些可能涉及技术支持诈骗犯罪分子说服用户安装允许“技术支持专家”远程登录的软件 来解决他们的问题。在其他网络钓鱼攻击中，毫无戒心的用户将获得登录体验 这看起来很正常，但实际上是一个假网站，捕获他们的身份验证代码和用户凭据。 MFABypass101白皮书5 2368 2368 窃取一次性密码 当MFA需要“您拥有的东西”时，通常意味着您的移动设备，硬件安全密钥， oremailaccount.Thesedevicesandaccountsenabletheuseofone-timepassword(OTP)asthe 次要身份验证因素，在有限的时间内生成，并作为附加因素在身份验证过程中。 一种绕过使用OTP作为身份验证因素的方法可以追溯到网络钓鱼。一个 当受害者登陆欺骗网站时，这种网络钓鱼骗局就开始了。第一个步骤将是窃取他们的凭证(“他们知道什么”)，然后骗局将在幕后启动，而没有受害者的 知识。针对目标网站或登录门户的直接身份验证过程，使用被盗的凭证将发起对OTP的请求，这将导致令牌被发送到受害者的设备。 受害者现在已连接到网络钓鱼网站，并且不知道这是一个骗局。他们愿意向网络钓鱼网站提供他们的OTP令牌，这使得骗子能够接管他们的 帐户。 SIM交换 尽管有教育方面的建议，但许多服务仍然为MFA提供SMS短信。在这一点上，犯罪分子已经找到了进入fi传输蜂窝运营商网络的方法，在那里知道受害者的 手机公司，他们可以很容易地实施SIM卡交换攻击。 在aSIM交换攻击，通常攻击者会打电话给电话公司的客户服务部门 andfindssomeonewhoiswillingtoprovideinformationtocompletetheSIMswap.Oncethe攻击者has 控制客户的电话号码，他们打电话给银行，要求受害者的电汇帐户到他们拥有的另一个帐户。银行，将电话号码识别为属于 客户，不要求完整的安全问题，而是要求将一次性代码发送到电话攻击者正在呼叫的号码。 在2019年，联邦调查局特别发出了关于SIM卡交换的警告，因为他们已经看到了稳步增加在有关网络攻击者针对的美国银行机构客户的投诉中，这些客户将 客户的电话号码到攻击者拥有的电话。 回答安全问题 如果您曾经因为新手机而不得不重置MFA或暂时关闭， for例如，个人身份信息(PII)通常被用来证明你就是你所说的那个人 are。但PII经常暴露在数据泄露中，我们也会在社交媒体上泄露——你的宠物名字，你最后一次买车，你有多少孩子，等等。各种各样的数据都在那里，有 要么心甘情愿地暴露出来，要么通过违规行为暴露出来，罪犯不需要太多的时间就能把这些点联系起来并使用我们的PII来规避MFA。 MFABypass101白皮书6 预防措施 考虑到帐户安全性，就像家庭警报器一样。使用家庭警报系统，我们将传感器放在门窗上 努力减慢入侵者的速度-但是当他们不绊倒那些传感器时会发生什么？运动探测器是故障安全的。 MFA是一个很好的第一个步骤，但是如果用户使用有效的凭据登录（也称为帐户接管），则组织无法 determineiftheuserisacriminalbecausetheytripnosensor.Althoughit'sclearthatattackerscancavventMFAthrough 社会工程和技术攻击，这并不意味着你不应该使用它。MFA的任何实现都应该是前提是它可以被渗透，并且确实需要额外的考虑。其中： 监控凭据和Cookie以进行妥协 坏人只需要一次错误的点击，被盗的凭据或被盗的会话cookie就可以闯入并拿走知道哪些用户的凭据或Cookie已被暴露的能力至关重要 降低违规和欺诈的风险。 实施基于风险的身份验证 想想基于风险的身份验证(RBA)，就像类固醇上的MFA一样。在概念上，RBA超越了用户名/密码和MFA代码，以包括唯一标识登录点的因素，例如 deviceprofile,geolocation,andtimeofday.Risk-basedpolicies,likepromptingforastep-upauthentication 在尝试通过未经授权的代理访问资源或自动阻止访问时提出挑战从已知的恶意IP，也可以在被可疑事件触发时启动。 安装防病毒和防恶意软件 超过2500万种新类型的恶意软件仅从2022年初开始注册，就有 没有比现在更好的时间来加强恶意软件保护和整体网络安全。受信任的防病毒软件可以帮助保护您的设备免受威胁您的组织和 有价值的信息。 教育用户 重要的是要意识到，一些MFA技术并不能完全保护用户免受妥协他们的账户。这对个人来说是个坏消息，但它可能会对 组织。只需一名员工就可以接受非法的MFA推送，攻击者就可以满帐户访问。并且更多的个人远程工作并可能访问专业工具 和个人设备上的网站，员工必须了解这些在fi中的风险和组织已经采取了缓解措施来打击。 我们建议您通过以下方式加强您的网络安全计划证件暴露监测因此，当帐户时，您会收到警报在漏洞生命周期的早期就被入侵(在犯罪分子可以利用它们绕过提到的所有形式的MFA绕过之前以上)，以及对这些暴露的凭据的自动补救(使您减少留住用户的负担 safe). 最终，网络安全没有一个“魔术子弹”。实施NIST指南，其中包括MFA并行操作 通过持续监控暴露的凭据，组织可以在欺诈趋势发生变化或出现新威胁时轻松进行调整出现。 MFABypass101白皮书7 TheSpyCloudDi<unk>erence 围绕主动技术构建安全计划 利用通