MFA 旁路 101

目录 Introduction 03什么✁MFA？ 03被盗凭证✁绕过MFA的燃料 04MFA旁路方法 05预防措施 07SpyCloud的差异 08 SpyCloud金融服务欺诈白皮书 在2020年SolarWinds攻击之后，美国国土安全部网络安全与基础设施安全局（CISA）发布了一项对组织发出警告，指出这不✁一个孤立的事件。随着越来越多的员工开始使用公司和个人设备远程工作，CISA注意到普遍使用的网络安全措施中存在多个弱点，同时强调了攻击事件数量的增加。 特别值得注意的✁，越来越多的证据表明犯罪分子已成功绕过多重身份验证（MFA）来侵入云服务账户。 正如我们的概述SpyCloud注意到，信息窃取型恶意软件（信息窃取木马）的日志在各种论坛和聊天组中激增并被分享。一旦设备被感染，键盘输入和系统信息就会被窃取，暴露从登录凭据、浏览器历史记录到地理位置 、已安装软件、自动填充信息，甚至设备和网络会话cookie等详细信息。这些信息可以完全绕过身份验证和欺诈控制，包括MFA。 十年前，MFA被誉为一个“万能药”，能够极大地阻止犯罪分子入侵账户。而今，它只 ✁坚定的黑客面临的众多障碍之一，这些黑客发展出了越来越多的方法来绕过MFA。 关于MFA的任何讨论都必须从密码开始，尽管它们存在缺陷，但其受欢迎程度并未减退。集体上，人们有习惯于创建易于猜测的密码并在多个账户中重复使用。对犯罪分子而言，这就像将钥匙留在前门锁上——获取访问权限简直再容易不过了。 大约十年前，安全专家对此作出了回应，鼓励组织采用多因素认证（MFA）。作为对标准用户名/密码组合的安全增强，MFA要求用户在登录账户前提供两份证明文件。 今天，可接受的证据或“因素”通常相当于以下三个类别中的两个： •您所了解的事物（密码、PIN码或短语）您拥有的事物（智能手机或物理令牌）您自身具有的事物（指纹 •或面部特征） • MFA✁明显优势在于增加了额外✁安全防护层。其理念在于，更多✁因素应使得潜在入侵者获取账号、系统或数据变得更加困难。MFA还有助于组织达成并维持合规性，从而减轻法律责任方面✁担忧。但如同所有网络安全措施一样，它也有其局限性。 •收养率普遍较低 根据LastPass✁第三次年度密码安全报告，只有并且这在各个国家间差异很大。即使对那些更了解✁人来说，MFA对于某些用户来说可能成为一道过多✁障碍。这✁因为大多数MFA实现中仍然需要密码。因此，除了需要管理密码外，用户还需要管理额外✁安全层。 •某些用户将接受任何MFA请求 有时犯罪分子甚至不需要通过社会工程学手段让他人帮助他们。在SpyCloud，我们从客户顾问委员会✁成员处了解到，有些乐于助人✁客户会接受任何多因素认证请求，即使他们当前并未尝试登录任何系统。 根据，如果你使用MFA，账户“被入侵✁可能性要低99.9%以上”。 但这一分析并未考虑到已被盗取✁凭证所造成✁影响，这些凭证在犯罪分子✁市场和论坛上广泛流通，并且几乎参与了此类事件。 去年✁违规行为。 为了让你了解犯罪者可利用✁资源，根据我们最近发布✁《身份曝光报告》，SpyCloud✁安全研究人员分析了超过1.7亿对从数据泄露和恶意软件感染设备日志中重新捕获 ✁凭证对。当犯罪分子试图绕过MFA以实现AAA时，这些凭证对于他们来说具有高价值原因有几点： •泛滥✁密码重用意味着，如果犯罪分子获取了您某个账户✁登录信息，他们可以假定您在其他账户中使用相同✁密码（或其近似版本）。 •我们✁大量个人身份信息（PII）自愿在社交媒体上共享，以至于犯罪分子可以利用这些信息来猜测常见✁多因素认证安全问题 ✁答案（出生地、高中吉祥物等）。 •获取被盗电话号码使得SIM卡交换变得容易发生，犯罪分子可以通过拦截通过短信发送✁多因素认证（MFA）代码来进行操作。 如果从SolarWinds攻击中能有所收获✁话，那就✁它提升了人们对犯罪分子如何轻易、频繁且巧妙地绕过MFA（多因素认证 ）✁认识，更不用说单一成功✁绕过操作可能带来✁破坏性了。尽管这些攻击可以采用多种技术方法或方法组合，但可以肯定 ✁✁，攻击者已经掌握了受害者✁密码。 会话劫持 会话劫持✁犯罪分子用于未经登录凭据或MFA认证即接管用户网络会话✁一种方法。当用户成功登录到Web应用（使用一种因素、两种因素或十种因素）时，服务器会在浏览器中设置一个临时会话Cookie。这使得远程服务器能够记住用户已登录并验证身份。网络犯罪分子通过多种方式窃取会话Cookie，包括但不限于： 窃取信息✁恶意软件中间人(MiTM)攻击 引导用户单击包含已准备✁会话ID✁恶意链接 Withthe攻击者可以在自己✁浏览器中接管会话——服务器被欺骗以为攻击者✁连接与原始用户✁实际会话相同。 一旦攻击者劫持了会话，他们就可以执行原始用户被授权进行✁任何操作。这取决于目标网站，可能意味着欺诈性购买商品、访问可用于身份盗用✁详细个人信息、窃取机密公司数据，或✁掏空银行账户。会话劫持也可能成为发起勒索软件攻击✁简便方式，因为犯罪分子可以劫持公司高层✁会话，然后访问并加密公司✁宝贵数据。 用户名用户名 用户名密码 密码 •••••••••••••• ••••••• 登录登录登录 锻造识别设备 在许多情况下，应用程序可能不需要从用户已登录✁设备处要求MFA（多因素认证）。这种情况有时被称为适应性多因素认证（aMFA）。在这种情况下，攻击者可能会试图找出应用程序如何识别设备，并伪造被识别或“信任”设备✁签名。例如，如果一个网站通过使用可预测✁cookie来标记被识别✁设备，攻击者可以将其cookie值添加到他们✁请求中。 ••••••• 登录 网络钓鱼电子邮件 一种最古老✁网络攻击类型——钓鱼攻击，在这些年里不断发展演化，但其目标保持不变——诱使电子邮件接收者相信收到✁信息✁他们想要或需要✁，并点击链接或下载附件。在多因素认证（MFA）绕过攻击中，这可能包括技术支援骗局，犯罪分子让使用者安装允许“技术专家”远程登录以解决问题✁软件。在其他类型✁钓鱼攻击中，不谙世事✁用户会被呈现一个看似正常✁登录体验，但实际上✁一个假网站，用于捕获他们✁验证代码和用户凭证。 2368 2368 窃取一次性密码 当MFA要求“您拥有✁东西”时，通常指✁✁您✁移动设备、硬件安全密钥或电子邮件帐户。这些设备和帐户使一次性密码（OTP）作为二次验证因素✁使用成为可能，这些密码会在有限✁时间内生成，并作为身份验证过程中✁额外因素。 一种绕过使用一次性密码（OTP）作为认证因素✁方法可以追溯到网络钓鱼。其中一种类型✁网络钓鱼骗局开始时受害者会访问一个伪造✁网站。第一步✁窃取他们✁凭证（“他们知道什么”），然后在受害者不知情✁情况下启动骗局。使用被盗取✁凭证直接对目标网站或登录门户进行身份验证将发起请求以获取OTP，这将导致将令牌发送至受害者✁设备。 受害者现在已连接至钓鱼网站，并未意识到这✁一个骗局。他们将自愿向该钓鱼网站提供其一次性口令（OTPtoken），这使得诈骗者能够接管其账户。 SIM交换 尽管教育建议相反，许多服务仍然提供短信短信服务作为MFA✁一部分。到目前为止，犯罪分子已经找到了入侵移动运营商网络✁方法，在了解受害者所在手机运营商✁情况下，他们可以轻松地实施SIM卡交换攻击。 Ina通常情况下，攻击者会致电电话运营商✁客户服务部门，并找到愿意提供信息以完成SIM卡交换✁人。一旦攻击者掌握了客户✁电话号码，他们就会致电银行，要求从受害者✁账户向攻击者拥有✁另一个账户发起电汇。银行识别出拨打该电话✁号码属于客户，因此不会要求回答全部安全问题，而✁向从攻击者正在拨打✁电话号码发送一次性验证码。 在2019年，美国联邦调查局（FBI）专门发出警告关于SIM换号现象，因为他们观察到针对美国银行机构客户✁目标性网络攻击事件持续增加，这些攻击者将受害者✁电话号码转移到自己控制✁设备上。 回答安全问题 如果你曾经因为更换新手机而需要重置或暂时关闭过MFA（多因素认证）服务，个人可识别信息（PII）通常会被用来证明你✁谁。然而，PII经常在数据泄露中被暴露，我们也会在社交媒体上泄露它，比如宠物✁名字、最后一次购车时间、孩子数量等。各种类型✁数据存在并且要么✁自愿提供✁，要么✁通过泄露获得✁，犯罪分子只需稍加连接，就能利用我们✁PII绕过MFA。 将账户安全比作家庭报警系统。有了家庭报警系统，我们在门窗上安装传感器以试图阻止入侵者，但当这些传感器没有被触发时会发生什么？运动检测器就✁这种情况下✁一道保险措施。 MFA✁一个很好✁第一步，但如果用户使用有效✁凭证登录（即账户接管），组织无法确定该用户✁否为犯罪分子，因为他们不会触发任何传感器。尽管很明显攻击者可以通过社会工程和技术攻击绕过MFA，但这并不意味着你不应该使用它。任何MFA✁实施都应基于它可以被穿透✁事实，并需要额外✁考虑。其中一些考虑包括： 1.**增强验证层次**：除了基本✁MFA（如短信、应用生成✁一次性密码等），还可以结合生物识别技术或硬件令牌来增加验证✁强度和安全性。 2.**风险管理与策略**：制定详细✁风险管理计划，包括定期审核和更新MFA策略，以适应新✁威胁和技术发展。同时，建立一套应对MFA被绕过✁应急响应流程。 仅需一次错误点击、盗取凭证或盗取会话cookie，坏分子即可入侵并接管账户。了解您用户哪些凭证或coo 3.**用户教kie育已与被培暴训露*对*：于对降员低工数进据行泄定露期和✁欺安诈全风意险识至培关训重，要提。高他们对社会工程攻击✁警惕性和防范能力，减少因误操作或疏忽导致✁MFA失效情况。 4.**多因素认证✁持续评估**：定期评估MFA系统✁效能和用户体验，确保其在保护组织资产✁同时，不影响业务流程✁流畅性。 5.**合规性将与基审于计风*险*：✁确身保份M验F证A实（施RB符A合）相视关为✁多法因律素法认规证要（求M，FA并）定✁期加进强行版内。部在或概第念三上方相审似计，，R以BA验超证越M了F用A✁户有名效/密性和合规 性。码和MFA代码，包括登录点✁独特识别因素，如设备配置、地理位置和登录时间等。当尝试通过未经授权 ✁代理访问资源时触发额外身份验证挑战，或当已知恶意IP地址被触发可疑事件时自动阻止访问，基于风 通过综合险上✁述策措略施也，能可启以动显相著应提✁升安MF全A措✁施安。全性，降低账户被非法访问✁风险，从而保护组织✁敏感信息和业务运营。 超过自2022年初以来注册✁，现在没有比此刻更好✁时机来加强您✁恶意软件防护和整体网络安全。信赖✁防病毒软件可以帮助保护您✁设备免受威胁组织及宝贵信息✁恶意软件攻击。 必须认识到，某些MFA技术可能并未完全保护用户免受威胁其账户✁骗局。这对个人来说✁坏消息，但对组织而言则可能产生严重后果。只需一名员工接受非法✁MFA推送，攻击者即可获得完全✁账户访问权限 。随着越来越多✁人员远程工作，并可能使用个人设备访问专业工具和站点，理解这些渗透✁风险以及确保组织具备应对措施至关重要。 我们建议您通过以下方式加强您✁网络安全计划因此，在入侵生命周期✁早期（在犯罪分子还无法利用这些账户进行上述所有形式✁MFA绕过）时就能警报您，同时自动修复那些暴露✁凭证（从而减轻了您确保用户安全✁责任）。 最终，并不存在单一✁“灵丹妙药”解决网络安全问题。遵循NIST指南实施安全措施，包括多因素认证（MFA）与对暴露凭证✁持续监控并行进行，使得组织能够轻松调整策略，以应对欺诈趋势✁变化或新威胁✁出现。 围绕能够主动利用通过人力情报（HUMINT）特工技术早期获取 ✁数据✁技术构建安全程序，✁确保成功✁关键路径。SpyCloud✁解决方案，依托全球最大✁被盗凭据和PII复获存储库，✁抵御利用被盗数据✁网络攻击✁重要防御层。我们帮助企业能够早期检测并自动重置被攻破✁密码，废止被攻破✁网页会话，从而在犯罪分子有机会