如何对有双因子认证站点进行钓鱼攻击？

我们假设攻击者已经获得了一组有效的员工登录凭据，而这时如果您没有多因素身份验证（MFA），那么攻击者毫无疑问就像是中了大奖，因为他们可以快速的获得该用户名和密码下的公开资产。

但是如果你有MFA呢？比如您有一个需要认证登录的门户来作为您敏感的公共资产的守护者，并且它受到MFA的保护。

这样你就认为你的站点是安全的，对吗？

事实并非如此。

也许您的站点登录情况对于那些是使用受到破坏的凭据的站点来说是相对安全的。然而，攻击者仍然可以通过MFA进程进行网络钓鱼，并访问受保护的资源。让我们来看看这个实例：

刚刚发生了什么？

这是一个实时网路钓鱼的例子。就像在标准的网络钓鱼攻击一样，攻击者说服受害者访问一个假登录门户。通过收集用户的MFA令牌并将其实时提交给真实的登录门户，攻击者成功的对MFA保护的站点进行了身份验证。然后，受害者被重定向，并显示其登录尝试未成功。

这种攻击说明了大多数一次性密码（OTP）系统主要受到哪些的影响：短信，语音，电子邮件，认证器应用等都是。

当然这种攻击类型并不是新出现的。 

事实上，这样的MFA解决方案长期依赖都存在缺陷。而当攻击者正在进行实时网路钓鱼的时候，相对应的企业或者其他组织应该意识到并对其进行有效的控制，以检测和/或防止这种类型的攻击。 

就个人而言，我预计进行自动实时MFA网络钓鱼攻击的百分比会不断上升。事实上，当我完成了自己的PoC工具之后，另一位研究人员也公开发布了一个利用网络钓鱼MFA令牌的想法的工具。

那么如何防止这样的攻击？ 

如前所述，这不是MFA中的一个漏洞，只是一次性密码不是为了防护而设计的。目前最好的预防方法是通过强密码来执行相互认证，完全从方程式中移除用户。

另外，通用第二因素（U2F）认证已被创建，其作为更强大的第二个认证因素。许多现代MFA解决方案依赖于用户识别他们认证的服务是合法的。在上述的网络钓鱼情形中，攻击者故意试图欺骗受害者，将其MFA令牌提供给受控域名。

U2F可以从方程式中移除用户。U2F使用硬件令牌，当激活时，使用公钥加密（PKI）来执行强认证，证明用户和服务是合法的。即使用户被钓鱼，并且攻击者获得密码，攻击者也将缺少验证所需的硬件令牌。

什么是检测这种攻击的最佳方法？

毫无疑问，这需要我们去监控可疑活动和安全分析的登录事件。特别是去注意这一点： 

1. 登录地点的分散 – 使用IP地理定位信息将允许您检测到攻击者从与受害者非常不同的位置登录。许多企业用户有多个设备认证：电话，笔记本电脑，平板电脑，但都位于同一个地方。而与其他用户的“正常”登录相比，攻击者从不同位置的登录最有可能成为可检测的异常情况。

2. 多个成功认证的用户都在一个新的位置，我们就可以猜测攻击者对多个用户实施了攻击并且成功了。根据攻击者的基础设施，这些登录可能都来自同一个新的位置。除非所有这些员工都是第一次访问相同的位置并登录，否则这个事件可能需要进一步的调查。