您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[SpyCloud]:MFA 旁路 101 - 发现报告
当前位置:首页/行业研究/报告详情/

MFA 旁路 101

信息技术2024-08-03SpyCloudD***
AI智能总结
查看更多
MFA 旁路 101

目录 Introduction 03什么✁MFA? 03被盗凭证✁绕过MFA的燃料 04MFA旁路方法 05预防措施 07SpyCloud的差异 08 SpyCloud金融服务欺诈白皮书 在2020年SolarWinds攻击之后,美国国土安全部网络安全与基础设施安全局(CISA)发布了一项对组织发出警告,指出这不✁一个孤立的事件。随着越来越多的员工开始使用公司和个人设备远程工作,CISA注意到普遍使用的网络安全措施中存在多个弱点,同时强调了攻击事件数量的增加。 特别值得注意的✁,越来越多的证据表明犯罪分子已成功绕过多重身份验证(MFA)来侵入云服务账户。 正如我们的概述SpyCloud注意到,信息窃取型恶意软件(信息窃取木马)的日志在各种论坛和聊天组中激增并被分享。一旦设备被感染,键盘输入和系统信息就会被窃取,暴露从登录凭据、浏览器历史记录到地理位置 、已安装软件、自动填充信息,甚至设备和网络会话cookie等详细信息。这些信息可以完全绕过身份验证和欺诈控制,包括MFA。 十年前,MFA被誉为一个“万能药”,能够极大地阻止犯罪分子入侵账户。而今,它只 ✁坚定的黑客面临的众多障碍之一,这些黑客发展出了越来越多的方法来绕过MFA。 关于MFA的任何讨论都必须从密码开始,尽管它们存在缺陷,但其受欢迎程度并未减退。集体上,人们有习惯于创建易于猜测的密码并在多个账户中重复使用。对犯罪分子而言,这就像将钥匙留在前门锁上——获取访问权限简直再容易不过了。 大约十年前,安全专家对此作出了回应,鼓励组织采用多因素认证(MFA)。作为对标准用户名/密码组合的安全增强,MFA要求用户在登录账户前提供两份证明文件。 今天,可接受的证据或“因素”通常相当于以下三个类别中的两个: •您所了解的事物(密码、PIN码或短语)您拥有的事物(智能手机或物理令牌)您自身具有的事物(指纹 •或面部特征) • MFA✁明显优势在于增加了额外✁安全防护层。其理念在于,更多✁因素应使得潜在入侵者获取账号、系统或数据变得更加困难。MFA还有助于组织达成并维持合规性,从而减轻法律责任方面✁担忧。但如同所有网络安全措施一样,它也有其局限性。 •收养率普遍较低 根据LastPass✁第三次年度密码安全报告,只有并且这在各个国家间差异很大。即使对那些更了解✁人来说,MFA对于某些用户来说可能成为一道过多✁障碍。这✁因为大多数MFA实现中仍然需要密码。因此,除了需要管理密码外,用户还需要管理额外✁安全层。 •某些用户将接受任何MFA请求 有时犯罪分子甚至不需要通过社会工程学手段让他人帮助他们。在SpyCloud,我们从客户顾问委员会✁成员处了解到,有些乐于助人✁客户会接受任何多因素认证请求,即使他们当前并未尝试登录任何系统。 根据,如果你使用MFA,账户“被入侵✁可能性要低99.9%以上”。 但这一分析并未考虑到已被盗取✁凭证所造成✁影响,这些凭证在犯罪分子✁市场和论坛上广泛流通,并且几乎参与了此类事件。 去年✁违规行为。 为了让你了解犯罪者可利用✁资源,根据我们最近发布✁《身份曝光报告》,SpyCloud✁安全研究人员分析了超过1.7亿对从数据泄露和恶意软件感染设备日志中重新捕获 ✁凭证对。当犯罪分子试图绕过MFA以实现AAA时,这些凭证对于他们来说具有高价值原因有几点: •泛滥✁密码重用意味着,如果犯罪分子获取了您某个账户✁登录信息,他们可以假定您在其他账户中使用相同✁密码(或其近似版本)。 •我们✁大量个人身份信息(PII)自愿在社交媒体上共享,以至于犯罪分子可以利用这些信息来猜测常见✁多因素认证安全问题 ✁答案(出生地、高中吉祥物等)。 •获取被盗电话号码使得SIM卡交换变得容易发生,犯罪分子可以通过拦截通过短信发送✁多因素认证(MFA)代码来进行操作。 如果从SolarWinds攻击中能有所收获✁话,那就✁它提升了人们对犯罪分子如何轻易、频繁且巧妙地绕过MFA(多因素认证 )✁认识,更不用说单一成功✁绕过操作可能带来✁破坏性了。尽管这些攻击可以采用多种技术方法或方法组合,但可以肯定 ✁✁,攻击者已经掌握了受害者✁密码。 会话劫持 会话劫持✁犯罪分子用于未经登录凭据或MFA认证即接管用户网络会话✁一种方法。当用户成功登录到Web应用(使用一种因素、两种因素或十种因素)时,服务器会在浏览器中设置一个临时会话Cookie。这使得远程服务器能够记住用户已登录并验证身份。网络犯罪分子通过多种方式窃取会话Cookie,包括但不限于: 窃取信息✁恶意软件中间人(MiTM)攻击 引导用户单击包含已准备✁会话ID✁恶意链接 Withthe攻击者可以在自己✁浏览器中接管会话——服务器被欺骗以为攻击者✁连接与原始用户✁实际会话相同。 一旦攻击者劫持了会话,他们就可以执行原始用户被授权进行✁任何操作。这取决于目标网站,可能意味着欺诈性购买商品、访问可用于身份盗用✁详细个人信息、窃取机密公司数据,或✁掏空银行账户。会话劫持也可能成为发起勒索软件攻击✁简便方式,因为犯罪分子可以劫持公司高层✁会话,然后访问并加密公司✁宝贵数据。 用户名用户名 用户名密码 密码 •••••••••••••• ••••••• 登录登录登录 锻造识别设备 在许多情况下,应用程序可能不需要从用户已登录✁设备处要求MFA(多因素认证)。这种情况有时被称为适应性多因素认证(aMFA)。在这种情况下,攻击者可能会试图找出应用程序如何识别设备,并伪造被识别或“信任”设备✁签名。例如,如果一个网站通过使用可预测✁cookie来标记被识别✁设备,攻击者可以将其cookie值添加到他们✁请求中。 ••••••• 登录 网络钓鱼电子邮件 一种最古老✁网络攻击类型——钓鱼攻击,在这些年里不断发展演化,但其目标保持不变——诱使电子邮件接收者相信收到✁信息✁他们想要或需要✁,并点击链接或下载附件。在多因素认证(MFA)绕过攻击中,这可能包括技术支援骗局,犯罪分子让使用者安装允许“技术专家”远程登录以解决问题✁软件。在其他类型✁钓鱼攻击中,不谙世事✁用户会被呈现一个看似正常✁登录体验,但实际上✁一个假网站,用于捕获他们✁验证代码和用户凭证。 2368 2368 窃取一次性密码 当MFA要求“您拥有✁东西”时,通常指✁✁您✁移动设备、硬件安全密钥或电子邮件帐户。这些设备和帐户使一次性密码(OTP)作为二次验证因素✁使用成为可能,这些密码会在有限✁时间内生成,并作为身份验证过程中✁额外因素。 一种绕过使用一次性密码(OTP)作为认证因素✁方法可以追溯到网络钓鱼。其中一种类型✁网络钓鱼骗局开始时受害者会访问一个伪造✁网站。第一步✁窃取他们✁凭证(“他们知道什么”),然后在受害者不知情✁情况下启动骗局。使用被盗取✁凭证直接对目标网站或登录门户进行身份验证将发起请求以获取OTP,这将导致将令牌发送至受害者✁设备。 受害者现在已连接至钓鱼网站,并未意识到这✁一个骗局。他们将自愿向该钓鱼网站提供其一次性口令(OTPtoken),这使得诈骗者能够接管其账户。 SIM交换 尽管教育建议相反,许多服务仍然提供短信短信服务作为MFA✁一部分。到目前为止,犯罪分子已经找到了入侵移动运营商网络✁方法,在了解受害者所在手机运营商✁情况下,他们可以轻松地实施SIM卡交换攻击。 Ina通常情况下,攻击者会致电电话运营商✁客户服务部门,并找到愿意提供信息以完成SIM卡交换✁人。一旦攻击者掌握了客户✁电话号码,他们就会致电银行,要求从受害者✁账户向攻击者拥有✁另一个账户发起电汇。银行识别出拨打该电话✁号码属于客户,因此不会要求回答全部安全问题,而✁向从攻击者正在拨打✁电话号码发送一次性验证码。 在2019年,美国联邦调查局(FBI)专门发出警告关于SIM换号现象,因为他们观察到针对美国银行机构客户✁目标性网络攻击事件持续增加,这些攻击者将受害者✁电话号码转移到自己控制✁设备上。 回答安全问题 如果你曾经因为更换新手机而需要重置或暂时关闭过MFA(多因素认证)服务,个人可识别信息(PII)通常会被用来证明你✁谁。然而,PII经常在数据泄露中被暴露,我们也会在社交媒体上泄露它,比如宠物✁名字、最后一次购车时间、孩子数量等。各种类型✁数据存在并且要么✁自愿提供✁,要么✁通过泄露获得✁,犯罪分子只需稍加连接,就能利用我们✁PII绕过MFA。 将账户安全比作家庭报警系统。有了家庭报警系统,我们在门窗上安装传感器以试图阻止入侵者,但当这些传感器没有被触发时会发生什么?运动检测器就✁这种情况下✁一道保险措施。 MFA✁一个很好✁第一步,但如果用户使用有效✁凭证登录(即账户接管),组织无法确定该用户✁否为犯罪分子,因为他们不会触发任何传感器。尽管很明显攻击者可以通过社会工程和技术攻击绕过MFA,但这并不意味着你不应该使用它。任何MFA✁实施都应基于它可以被穿透✁事实,并需要额外✁考虑。其中一些考虑包括: 1.**增强验证层次**:除了基本✁MFA(如短信、应用生成✁一次性密码等),还可以结合生物识别技术或硬件令牌来增加验证✁强度和安全性。 2.**风险管理与策略**:制定详细✁风险管理计划,包括定期审核和更新MFA策略,以适应新✁威胁和技术发展。同时,建立一套应对MFA被绕过✁应急响应流程。 仅需一次错误点击、盗取凭证或盗取会话cookie,坏分子即可入侵并接管账户。了解您用户哪些凭证或coo 3.**用户教kie育已与被培暴训露*对*:于对降员低工数进据行泄定露期和✁欺安诈全风意险识至培关训重,要提。高他们对社会工程攻击✁警惕性和防范能力,减少因误操作或疏忽导致✁MFA失效情况。 4.**多因素认证✁持续评估**:定期评估MFA系统✁效能和用户体验,确保其在保护组织资产✁同时,不影响业务流程✁流畅性。 5.**合规性将与基审于计风*险*:✁确身保份M验F证A实(施RB符A合)相视关为✁多法因律素法认规证要(求M,FA并)定✁期加进强行版内。部在或概第念三上方相审似计,,R以BA验超证越M了F用A✁户有名效/密性和合规 性。码和MFA代码,包括登录点✁独特识别因素,如设备配置、地理位置和登录时间等。当尝试通过未经授权 ✁代理访问资源时触发额外身份验证挑战,或当已知恶意IP地址被触发可疑事件时自动阻止访问,基于风 通过综合险上✁述策措略施也,能可启以动显相著应提✁升安MF全A措✁施安。全性,降低账户被非法访问✁风险,从而保护组织✁敏感信息和业务运营。 超过自2022年初以来注册✁,现在没有比此刻更好✁时机来加强您✁恶意软件防护和整体网络安全。信赖✁防病毒软件可以帮助保护您✁设备免受威胁组织及宝贵信息✁恶意软件攻击。 必须认识到,某些MFA技术可能并未完全保护用户免受威胁其账户✁骗局。这对个人来说✁坏消息,但对组织而言则可能产生严重后果。只需一名员工接受非法✁MFA推送,攻击者即可获得完全✁账户访问权限 。随着越来越多✁人员远程工作,并可能使用个人设备访问专业工具和站点,理解这些渗透✁风险以及确保组织具备应对措施至关重要。 我们建议您通过以下方式加强您✁网络安全计划因此,在入侵生命周期✁早期(在犯罪分子还无法利用这些账户进行上述所有形式✁MFA绕过)时就能警报您,同时自动修复那些暴露✁凭证(从而减轻了您确保用户安全✁责任)。 最终,并不存在单一✁“灵丹妙药”解决网络安全问题。遵循NIST指南实施安全措施,包括多因素认证(MFA)与对暴露凭证✁持续监控并行进行,使得组织能够轻松调整策略,以应对欺诈趋势✁变化或新威胁✁出现。 围绕能够主动利用通过人力情报(HUMINT)特工技术早期获取 ✁数据✁技术构建安全程序,✁确保成功✁关键路径。SpyCloud✁解决方案,依托全球最大✁被盗凭据和PII复获存储库,✁抵御利用被盗数据✁网络攻击✁重要防御层。我们帮助企业能够早期检测并自动重置被攻破✁密码,废止被攻破✁网页会话,从而在犯罪分子有机会