多因素认证并非无懈可击!黑客利用社会工程学绕过MFA的4种方法

在访问安全方面,有一项措施最为突出:多因素身份验证 (MFA)。对于黑客而言,破译密码很简单,而MFA就是预防泄露的重要保护层。然而 MFA 并不是万无一失的,它可以被绕过,并且屡见不鲜。

如果密码被泄露,黑客可以通过多种方法来绕过 MFA 的附加保护。下文将探讨黑客成功用来突破 MFA 的四种社会工程策略,以及强密码作为分层防御的一部分所起到的重要作用。

▌01  对手中间人(AITM)攻击

AITM 攻击指的是欺骗用户,使其相信他们正在登录真实的网络、应用程序或网站。但实际上,他们正在将自己的信息泄露给黑客,这使得黑客能够拦截密码并操纵安全措施,其中就包括 MFA 提示。例如,鱼叉式钓鱼邮件可能会冒充可信的来源发送邮件到员工的收件箱,单击邮件中嵌入的链接会将他们引导至一个假冒网站,黑客会在该网站上收集他们的登录凭证。

理想情况下,MFA 应该通过要求额外的身份验证因素来防止这些攻击,但黑客可以采用一种被称为“2FA pass-on”的技术。一旦受害者在虚假网站上输入凭证,攻击者就会立即在合法网站上输入相同的详细信息。这会触发合法的 MFA 请求,这都在受害者的预期之内,因此他们会轻易批准该请求,从而无意中授予攻击者完全访问权限。

这是 Storm-1167 等威胁组织的常见策略,这些组织以制作虚假的 Microsoft 身份验证页面来获取凭证而闻名。他们还创建了第二个网络钓鱼页面,模仿 Microsoft 登录过程的 MFA 步骤,提示受害者输入 MFA 代码并授予攻击者访问权限。从那里,他们可以访问合法的电子邮件帐户,并可以将其用作多阶段网络钓鱼攻击的平台。

塞讯安全度量验证平台可以帮您验证您目前的安全措施是否足以抵御“2FA pass-on”技术,在攻击库中搜索“2FA”,即可获取实现“2FA pass-on”的恶意软件的攻击模拟。

▌02  MFA即时轰炸

这种策略利用了现代身份验证应用程序中的推送通知功能。密码泄露后,攻击者尝试登录,从而向合法用户的设备发送 MFA 提示。用户要么将其误认为是真正的提示并接受它,要么出于对连续提示的不耐烦就选择接受。这种被称为 MFA 即时轰炸的技术构成了重大威胁。

在某次事件中,来自0ktapus组织的黑客通过短信网络钓鱼泄露了 Uber 承包商的登录凭证,接着从他们控制的机器上继续进行身份验证,并立即请求 MFA 代码。然后,他们在 Slack 上冒充 Uber 安全团队成员,诱骗承包商接受手机上的 MFA 推送通知。

▌03  服务台攻击

攻击者会假装忘记密码,并通过电话获取访问权限来欺骗服务台绕过 MFA。如果服务台代理未能执行适当的验证程序,他们可能会在不知不觉中为黑客提供进入其组织环境的初始入口点。最近的一个典型事件是针对米高梅度假村的攻击,其中 Scattered Spider 黑客组织欺诈性地联系服务台进行密码重置,为他们提供了登录并发起勒索软件攻击的立足点。

黑客还尝试通过操纵服务台来利用恢复设置和备份程序来绕过 MFA。如果 0ktapus 的 MFA 即时轰炸被证明不成功,那么0ktapus就会以某个组织的服务台为目标。他们会联系服务台,声称自己的手机无法使用或丢失,然后请求注册新的、由攻击者控制的 MFA 身份验证设备。然后,他们可以通过将密码重置链接发送到受感染的设备来利用组织的恢复或备份过程。

▌04  SIM 交换攻击

网络犯罪分子知道 MFA 通常依赖手机作为身份验证手段。他们可以通过一种称为“SIM 交换”的技术来利用这一点,即黑客欺骗服务提供商将目标的服务转移到他们控制下的 SIM 卡上。然后,他们可以有效地接管目标的手机服务和电话号码,让他们拦截 MFA 提示并获得对帐户的未经授权的访问。

2022 年发生事件后,微软发布了一份报告,详细介绍了威胁组织LAPSUS$所采用的策略。该报告解释了 LAPSUS$ 如何致力于广泛的社会工程活动,从而在目标组织中获得初步立足点。他们最喜欢的技术之一是通过 SIM 交换攻击以及 MFA 即时轰炸来针对用户,并通过服务台社交工程重置目标的凭证。

塞讯安全度量验证平台可以帮您验证您目前的安全措施是否足以抵御“LAPSUS$”威胁组织使用过的众多攻击手法,在攻击库中搜索“LAPSUS$”,即可获取与“LAPSUS$””威胁组织相关的攻击手法然后进行攻击模拟。

▌注意:不要完全依赖于 MFA ,密码安全仍然很重要

绕过 MFA 的方法并不仅限于以上几种,其他方式还包括破坏端点、导出生成的令牌、利用 SSO 以及查找未修补的技术缺陷等。显然,设置 MFA 并不意味着组织可以完全不需要保护密码。

帐户泄露仍然经常从弱密码或密码泄露开始。一旦攻击者获得有效密码,他们就可以将注意力转向绕过 MFA 机制。如果密码因泄露或重复使用而受到损害,即使是强密码也无法保护用户。对于大多数组织来说,完全无密码并不是一个实用的选择。