如何对有双因子认证站点进行钓鱼攻击?

简介: 本文讲的是如何对有双因子认证站点进行钓鱼攻击?,我们假设攻击者已经获得了一组有效的员工登录凭据,而这时如果您没有多因素身份验证(MFA),那么攻击者毫无疑问就像是中了大奖,因为他们可以快速的获得该用户名和密码下的公开资产。
本文讲的是 如何对有双因子认证站点进行钓鱼攻击?

如何对有双因子认证站点进行钓鱼攻击?

我们假设攻击者已经获得了一组有效的员工登录凭据,而这时如果您没有多因素身份验证(MFA),那么攻击者毫无疑问就像是中了大奖,因为他们可以快速的获得该用户名和密码下的公开资产。

但是如果你有MFA呢?比如您有一个需要认证登录的门户来作为您敏感的公共资产的守护者,并且它受到MFA的保护。

这样你就认为你的站点是安全的,对吗?

事实并非如此。

也许您的站点登录情况对于那些是使用受到破坏的凭据的站点来说是相对安全的。然而,攻击者仍然可以通过MFA进程进行网络钓鱼,并访问受保护的资源。让我们来看看这个实例:

刚刚发生了什么?

这是一个实时网路钓鱼的例子。就像在标准的网络钓鱼攻击一样,攻击者说服受害者访问一个假登录门户。通过收集用户的MFA令牌并将其实时提交给真实的登录门户,攻击者成功的对MFA保护的站点进行了身份验证。然后,受害者被重定向,并显示其登录尝试未成功。

这种攻击说明了大多数一次性密码(OTP)系统主要受到哪些的影响:短信,语音,电子邮件,认证器应用等都是。

当然这种攻击类型并不是新出现的。 

事实上,这样的MFA解决方案长期依赖都存在缺陷。而当攻击者正在进行实时网路钓鱼的时候,相对应的企业或者其他组织应该意识到并对其进行有效的控制,以检测和/或防止这种类型的攻击。 

就个人而言,我预计进行自动实时MFA网络钓鱼攻击的百分比会不断上升。事实上,当我完成了自己的PoC工具之后,另一位研究人员也公开发布了一个利用网络钓鱼MFA令牌的想法的工具。

那么如何防止这样的攻击? 

如前所述,这不是MFA中的一个漏洞,只是一次性密码不是为了防护而设计的。目前最好的预防方法是通过强密码来执行相互认证,完全从方程式中移除用户。

另外,通用第二因素(U2F)认证已被创建,其作为更强大的第二个认证因素。许多现代MFA解决方案依赖于用户识别他们认证的服务是合法的。在上述的网络钓鱼情形中,攻击者故意试图欺骗受害者,将其MFA令牌提供给受控域名。

U2F可以从方程式中移除用户。U2F使用硬件令牌,当激活时,使用公钥加密(PKI)来执行强认证,证明用户和服务是合法的。即使用户被钓鱼,并且攻击者获得密码,攻击者也将缺少验证所需的硬件令牌。

什么是检测这种攻击的最佳方法?

毫无疑问,这需要我们去监控可疑活动和安全分析的登录事件。特别是去注意这一点: 

1. 登录地点的分散 – 使用IP地理定位信息将允许您检测到攻击者从与受害者非常不同的位置登录。许多企业用户有多个设备认证:电话,笔记本电脑,平板电脑,但都位于同一个地方。而与其他用户的“正常”登录相比,攻击者从不同位置的登录最有可能成为可检测的异常情况。

2. 多个成功认证的用户都在一个新的位置,我们就可以猜测攻击者对多个用户实施了攻击并且成功了。根据攻击者的基础设施,这些登录可能都来自同一个新的位置。除非所有这些员工都是第一次访问相同的位置并登录,否则这个事件可能需要进一步的调查。




原文发布时间为:2017年7月29日
本文作者:Change 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
安全 数据安全/隐私保护
渗透攻击实例-后台弱口令
渗透攻击实例-后台弱口令
|
4月前
|
安全 PHP 数据安全/隐私保护
WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
|
监控 安全 搜索推荐
网站后台数据被入侵篡改了如何解决
网站后台被黑客攻击了怎么办,最近接到一个客户的诉求反映说网站被攻击了后台数据总是被篡改和泄露,而且维持这个状况已经很长时间了,了解完才发现原来早期用的是thinkphp系统源码来搭建的网站,代码版本可以来说是非常古董的,而且后台漏洞非常的多,后面找了一个技术来解决这个问题,但是这个过程他又花了不少时间和钱,漏洞修完过段时间又被反反复复的篡改会员数据,于是他们干脆就改成了完全静态的网站,这个方法只能是治标不治本。
487 0
网站后台数据被入侵篡改了如何解决
|
监控 安全 数据安全/隐私保护
网络钓鱼之六大类仿冒网站分析
   网络钓鱼(英文为Phishing,与钓鱼的英语fishing发音相近,又名钓鱼法或钓鱼式攻击),传统意义上指的是利用伪造银行网站的方式,窃取用户银行帐号的行为。但随着网络应用越来越复杂,中国互联网上出现了很多对其“发扬光大”的诈骗形式。
1419 0
|
域名解析 缓存 监控
网站被劫持攻击以及流量攻击如何解决
目前越来越多的服务器被DDOS流量攻击,尤其近几年的DNS流量攻击呈现快速增长的趋势,DNS受众较广,存在漏洞,容易遭受到攻击者的利用,关于DNS流量攻击的详情,我们来大体的分析一下,通过我们SINE安全这几年的安全监控大数据来看清DNS的攻击。一种是DNS路由劫持攻击,一种是DNS流量放大攻击。
306 0
网站被劫持攻击以及流量攻击如何解决
|
SQL 缓存 安全
WordPress 站点地址被恶意篡改的防护方案讨论
关键词:WordPress,篡改,挂马,恶意,攻击,注入,跳转,重定向,网址,siteurl,home,url,hacked,jump,redirect 摘要:WordPress 站点稍有不慎就有可能受到恶意攻击。一种常见的手段是通过篡改站点的地址,用户访问网站时将会被重新定向到恶意网站。长老将分析两种常见的攻击手段:修改文件和修改数据库,并分享一些安全防护的小技巧。
621 0
|
安全 算法 数据安全/隐私保护
|
SQL 安全 PHP
网站被黑提醒该站点可能受到黑客攻击,部分页面已被非法篡改
大清早的一上班收到3个网站客户的QQ联系,说是自己公司的网站被跳转到了北京sai车,cai票,du博网站上去了,我们SINE安全公司对3个网站进行了详细的安全检测,发现这3个客户的网站都是同样的症状,网站首页文件index.php,index.html都被篡改添加了恶意的代码。
3905 0
|
安全 数据库 数据安全/隐私保护
如何解决网站被篡改提示该站点可能受到黑客攻击,部分页面已被非法篡改!
最近一段时间,我们SINE安全公司一连接到数十个公司网站被跳转到彩票,博彩网站上去,客户反映从百度搜索网站进去,直接跳转到彩票网站上,直接输入网址没有跳转,导致客户网站的流量急剧下滑,做的百度推广跟搜狗推广,都给彩票网站做广告了,公司领导高度重视网站安全的问题,因为给公司的形象以及名誉带来的损失太大了,我们安排安全技术人员对其网站进行全面的网站安全检测,对网站存在的漏洞,以及木马后门进行全面的清除与漏洞修复,安全加固。
6690 0