使用多因素身份驗證( MFA)是一個很好的安全防護手段,但與其他方式一樣����,它并非萬無一失�,而且不可能100%有效���。
許多人認為多因素認證( MFA)是最終的網(wǎng)絡防御手段���,有了它,企業(yè)和個人“感覺”更安全��,并認為這是一種萬無一失的方式����。畢竟,攻擊者需要登錄憑據(jù)和對輔助設備的訪問權限才能破壞系統(tǒng)��。然而����,這種錯誤的安全感是危險的,因為伴隨惡意軟件和網(wǎng)絡攻擊手段不斷提升���,繞過這些保護措施已經(jīng)變得相對容易��。
就像我們可以通過復雜的網(wǎng)絡安全防護技術來加強系統(tǒng)一樣���,網(wǎng)絡犯罪分子也可以使用相同的技術來利用弱點����。他們甚至可以使用合法的基礎設施繞過MFA并訪問公司網(wǎng)絡和個人數(shù)據(jù)從而威脅到我們的 軟件安全及 數(shù)據(jù)安全���。以下是惡意軟件常用并取得成功的攻擊方式�����。
中間人攻擊
一種普遍的攻擊方法是中間人(MitM)或反向Web代理攻擊���。在這種情況下,惡意用戶通過電子郵件或短信發(fā)送鏈接����,將目標指向一個類似(幾乎完全一樣)合法網(wǎng)站的釣魚網(wǎng)站。實際上��,即便是經(jīng)過訓練的眼睛也不一定能分辨出其中的真?zhèn)巍?/p>
例如��,假設銀行的登錄頁面使用了雙因素身份驗證(2FA)��。攻擊者知道����,即使有用戶名和密碼,他們也無法訪問該網(wǎng)站���。因此��,他們在釣魚頁面和實際服務之間設置了反向網(wǎng)絡代理(因此得名“中間人”)���。
當用戶在釣魚網(wǎng)站上輸入真實憑據(jù)時,它會與合法服務通信��,后者又將第二因素令牌或代碼發(fā)送給用戶�����。當用戶在釣魚網(wǎng)站上提交身份驗證代碼時��,不知不覺中就向攻擊者提供了訪問帳戶所需的最后一條信息��。
這種攻擊的簡單性在GitHub工具包中得到了說明�����,該工具包可自動執(zhí)行中間人流程�����。發(fā)布此代碼的研究人員是出于教育目的,但同時也使公眾可以輕松獲得惡意工具包�。
惡意的OAuth的應用程序
這些攻擊利用OAuth標準的普遍性進行訪問授權。每個云服務都允許用戶訪問網(wǎng)站或第三方授權應用程序���,并且無需持續(xù)使用其用戶名和密碼登錄��,通過OAuth令牌授予這些網(wǎng)站和應用程序帳戶訪問權限���。然而,由于授予權限的過程非���?焖���、簡單和方便,人們很容易(并且已經(jīng))被誘騙授權惡意應用程序�����。
這些攻擊集中在接收指向原始供應商站點的網(wǎng)絡釣魚鏈接(通過電子郵件�����、短信或其他方法)。在這種類型的攻擊中�,用戶單擊鏈接請求其用戶名和密碼。一旦完成��,該頁面會請求訪問第三方應用程序的權限�,在用戶同意后�����,惡意軟件就可以完全訪問該帳戶�����。想象一下�����,如果用戶是CTO或CIO�����,無意中授予了對企業(yè)整個Active Directory的訪問權限��,從而使業(yè)務完全開放����,后果不堪設想�����。
瀏覽器劫持
這可以說是最危險的攻擊形式��。隨著云在我們的職業(yè)和個人生活中逐漸標準化����,幾乎我們所做的一切事情都是通過瀏覽器完成�����。網(wǎng)上銀行����、購物、共享公司文件����、視頻會議等。為了簡化這一點�,所有現(xiàn)代瀏覽器都依賴于與瀏覽器具有相同訪問權限和權限的擴展或插件。無論瀏覽器“看到”什么���,插件都可以訪問���。
舉個例子���,用戶收到一個釣魚鏈接,要求他們下載一個特定的擴展����。攻擊者使用社會工程技術來獲得人們的信任���,并安裝偽裝成合法的�����、通常甚至是眾所周知的應用程序的插件��。安裝后����,該插件可以輕松地從瀏覽器中抓取 所有數(shù)據(jù)���,包括MFA代碼���、銀行詳細信息和其他敏感文本����。
披著羊皮的狼
一些企業(yè)將谷歌�、Dropbox或SharePoint等合法云服務列入白名單,因此很容易在這些服務上設置釣魚頁面�。事實上,雖然仍有必要尋找可疑的域名�,但這已經(jīng)變得特別具有挑戰(zhàn)性。人們通常認為����,如果一個域名看起來是合法的,那么這個網(wǎng)站就可以被信任��。此外��,網(wǎng)絡釣魚攻擊不再僅僅局限于電子郵件���,短信和電話詐騙也變得越來越普遍�����,通過協(xié)作渠道甚至社交媒體進行的攻擊也越來越普遍�����,可見 數(shù)據(jù)安全的威脅無處不在���。
穩(wěn)妥的安全防護方式
沒有任何一種安全防御設備能實現(xiàn)一勞永逸�����,今天��,最好的防御形式是通過對系統(tǒng)內(nèi)部與外部進行全面安全防御���。人們很容易出現(xiàn)人為錯誤���,所以安全是一個長期話題����。隨著黑客逐漸針對系統(tǒng)漏洞進行攻擊�����,安全防御也應從被動防守轉(zhuǎn)到主動防御上來��,企業(yè)需要從不同層面加強安全建設。建議在應用軟件開發(fā)初期��,通過悟空 靜態(tài)代碼檢測和 開源代碼安全測試等手段�,減少安全漏洞/降低運行時缺陷從而增強軟件防御漏洞攻擊能力,同時部署安全可靠的安全設備及軟件��,防守惡意軟件攻擊����。同樣重要的是,沒有任何一項安全防護手段是100%有效的���,時刻警惕安全事故發(fā)生���,做好網(wǎng)絡攻擊應急準備可以降低受攻擊的風險,減少經(jīng)濟損失��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
