MFA 旁路 101

Introduction03 什么是 MFA ？03 被盗凭证是绕过 MFA 的燃料04 MFA 旁路方法05 预防措施07 SpyCloud 的差异08 在2020年SolarWinds攻击之后，美国国土安全部网络安全与基础设施安全局（CISA）发布了一项咨询对组织发出警告，指出这不是一个孤立的事件。随着越来越多的员工开始使用公司和个人设备远程工作，CISA注意到普遍使用的网络安全措施中存在多个弱点，同时强调了攻击事件数量的增加。 特别值得注意的是，越来越多的证据表明犯罪分子已成功绕过多重身份验证（MFA）来侵入云服务账户。 正如我们的概述2022 年年度身份凭证曝光报告SpyCloud 注意到，信息窃取型恶意软件（信息窃取木马）的日志在各种论坛和聊天组中激增并被分享。一旦设备被感染，键盘输入和系统信息就会被窃取，暴露从登录凭据、浏览器历史记录到地理位置、已安装软件、自动填充信息，甚至设备和网络会话cookie等详细信息。这些信息可以完全绕过身份验证和欺诈控制，包括MFA。 十年前，MFA 被誉为一个“万能药”，能够极大地阻止犯罪分子入侵账户。而今，它只是坚定的黑客面临的众多障碍之一，这些黑客发展出了越来越多的方法来绕过 MFA。 关于MFA的任何讨论都必须从密码开始，尽管它们存在缺陷，但其受欢迎程度并未减退。集体上，人们有习惯于创建易于猜测的密码并在多个账户中重复使用。对犯罪分子而言，这就像将钥匙留在前门锁上——获取访问权限简直再容易不过了。 大约十年前，安全专家对此作出了回应，鼓励组织采用多因素认证（MFA）。作为对标准用户名/密码组合的安全增强，MFA要求用户在登录账户前提供两份证明文件。 您所了解的事物（密码、PIN码或短语） 您拥有的事物（智能手机或物理令牌） 您自身具有的事物（指纹或面部特征） MFA的明显优势在于增加了额外的安全防护层。其理念在于，更多的因素应使得潜在入侵者获取账号、系统或数据变得更加困难。MFA还有助于组织达成并维持合规性，从而减轻法律责任方面的担忧。但如同所有网络安全措施一样，它也有其局限性。 收养率普遍较低 根据 LastPass 的第三次年度密码安全报告 ， 只有全球 57% 的企业使用 MFA并且这在各个国家间差异很大。即使对那些更了解的人来说，MFA对于某些用户来说可能成为一道过多的障碍。这是因为大多数MFA实现中仍然需要密码。因此，除了需要管理密码外，用户还需要管理额外的安全层。 某些用户将接受任何 MFA 请求 有时犯罪分子甚至不需要通过社会工程学手段让他人帮助他们。在SpyCloud，我们从客户顾问委员会的成员处了解到，有些乐于助人的客户会接受任何多因素认证请求，即使他们当前并未尝试登录任何系统。 根据微软的研究， 如果你使用 MFA ， 账户 “被入侵的可能性要低 99.9% 以上” 。 但这一分析并未考虑到已被盗取的凭证所造成的影响，这些凭证在犯罪分子的市场和论坛上广泛流通，并且几乎参与了此类事件。80%去年的违规行为。 为了让你了解犯罪者可利用的资源，根据我们最近发布的《身份曝光报告》，SpyCloud的安全研究人员分析了超过1.7亿对从数据泄露和恶意软件感染设备日志中重新捕获的凭证对。当犯罪分子试图绕过MFA以实现AAA时，这些凭证对于他们来说具有高价值原因有几点： 泛滥的密码重用意味着，如果犯罪分子获取了您某个账户的登录信息，他们可以假定您在其他账户中使用相同的密码（或其近似版本）。 我们的大量个人身份信息（PII）自愿在社交媒体上共享，以至于犯罪分子可以利用这些信息来猜测常见的多因素认证安全问题的答案（出生地、高中吉祥物等）。 获取被盗电话号码使得SIM卡交换变得容易发生，犯罪分子可以通过拦截通过短信发送的多因素认证（MFA）代码来进行操作。 如果从SolarWinds攻击中能有所收获的话，那就是它提升了人们对犯罪分子如何轻易、频繁且巧妙地绕过MFA（多因素认证）的认识，更不用说单一成功的绕过操作可能带来的破坏性了。尽管这些攻击可以采用多种技术方法或方法组合，但可以肯定的是，攻击者已经掌握了受害者的密码。 会话劫持 会话劫持是犯罪分子用于未经登录凭据或MFA认证即接管用户网络会话的一种方法。当用户成功登录到Web应用（使用一种因素、两种因素或十种因素）时，服务器会在浏览器中设置一个临时会话Cookie。这使得远程服务器能够记住用户已登录并验证身份。网络犯罪分子通过多种方式窃取会话Cookie，包括但不限于： •窃取信息的恶意软件•中间人 (MiTM) 攻击•引导用户单击包含已准备的会话 ID 的恶意链接 With the被盗的 cookie攻击者可以在自己的浏览器中接管会话——服务器被欺骗以为攻击者的连接与原始用户的实际会话相同。 一旦攻击者劫持了会话，他们就可以执行原始用户被授权进行的任何操作。这取决于目标网站，可能意味着欺诈性购买商品、访问可用于身份盗用的详细个人信息、窃取机密公司数据，或是掏空银行账户。会话劫持也可能成为发起勒索软件攻击的简便方式，因为犯罪分子可以劫持公司高层的会话，然后访问并加密公司的宝贵数据。 锻造识别设备 在许多情况下，应用程序可能不需要从用户已登录的设备处要求MFA（多因素认证）。这种情况有时被称为适应性多因素认证（aMFA）。在这种情况下，攻击者可能会试图找出应用程序如何识别设备，并伪造被识别或“信任”设备的签名。例如，如果一个网站通过使用可预测的cookie来标记被识别的设备，攻击者可以将其cookie值添加到他们的请求中。 网络钓鱼电子邮件 一种最古老的网络攻击类型——钓鱼攻击，在这些年里不断发展演化，但其目标保持不变——诱使电子邮件接收者相信收到的信息是他们想要或需要的，并点击链接或下载附件。在多因素认证（MFA）绕过攻击中，这可能包括技术支援骗局，犯罪分子让使用者安装允许“技术专家”远程登录以解决问题的软件。在其他类型的钓鱼攻击中，不谙世事的用户会被呈现一个看似正常的登录体验，但实际上是一个假网站，用于捕获他们的验证代码和用户凭证。 窃取一次性密码 当MFA要求“您拥有的东西”时，通常指的是您的移动设备、硬件安全密钥或电子邮件帐户。这些设备和帐户使一次性密码（OTP）作为二次验证因素的使用成为可能，这些密码会在有限的时间内生成，并作为身份验证过程中的额外因素。 一种绕过使用一次性密码（OTP）作为认证因素的方法可以追溯到网络钓鱼。其中一种类型的网络钓鱼骗局开始时受害者会访问一个伪造的网站。第一步是窃取他们的凭证（“他们知道什么”），然后在受害者不知情的情况下启动骗局。使用被盗取的凭证直接对目标网站或登录门户进行身份验证将发起请求以获取OTP，这将导致将令牌发送至受害者的设备。 受害者现在已连接至钓鱼网站，并未意识到这是一个骗局。他们将自愿向该钓鱼网站提供其一次性口令（OTP token），这使得诈骗者能够接管其账户。 SIM 交换 尽管教育建议相反，许多服务仍然提供短信短信服务作为MFA的一部分。到目前为止，犯罪分子已经找到了入侵移动运营商网络的方法，在了解受害者所在手机运营商的情况下，他们可以轻松地实施SIM卡交换攻击。 In aSIM 交换攻击通常情况下，攻击者会致电电话运营商的客户服务部门，并找到愿意提供信息以完成SIM卡交换的人。一旦攻击者掌握了客户的电话号码，他们就会致电银行，要求从受害者的账户向攻击者拥有的另一个账户发起电汇。银行识别出拨打该电话的号码属于客户，因此不会要求回答全部安全问题，而是向从攻击者正在拨打的电话号码发送一次性验证码。 在2019年，美国联邦调查局（FBI）专门发出警告关于SIM换号现象，因为他们观察到针对美国银行机构客户的目标性网络攻击事件持续增加，这些攻击者将受害者的电话号码转移到自己控制的设备上。 回答安全问题 如果你曾经因为更换新手机而需要重置或暂时关闭过MFA（多因素认证）服务，个人可识别信息（PII）通常会被用来证明你是谁。然而，PII经常在数据泄露中被暴露，我们也会在社交媒体上泄露它，比如宠物的名字、最后一次购车时间、孩子数量等。各种类型的数据存在并且要么是自愿提供的，要么是通过泄露获得的，犯罪分子只需稍加连接，就能利用我们的PII绕过MFA。 将账户安全比作家庭报警系统。有了家庭报警系统，我们在门窗上安装传感器以试图阻止入侵者，但当这些传感器没有被触发时会发生什么？运动检测器就是这种情况下的一道保险措施。 MFA是一个很好的第一步，但如果用户使用有效的凭证登录（即账户接管），组织无法确定该用户是否为犯罪分子，因为他们不会触发任何传感器。尽管很明显攻击者可以通过社会工程和技术攻击绕过MFA，但这并不意味着你不应该使用它。任何MFA的实施都应基于它可以被穿透的事实，并需要额外的考虑。其中一些考虑包括： 1. **增强验证层次**：除了基本的MFA（如短信、应用生成的一次性密码等），还可以结合生物识别技术或硬件令牌来增加验证的强度和安全性。 • 监控凭据和 Cookie 以进行妥协2. **风险管理与策略**：制定详细的风险管理计划，包括定期审核和更新MFA策略，以适应新的威胁和技术发展。同时，建立一套应对MFA被绕过的应急响应流程。3. **用户教育与培训**：对员工进行定期的安全意识培训，提高他们对社会工程攻击的警惕性和防范能力，减少因误操作或疏忽导致的MFA失效情况。仅需一次错误点击、盗取凭证或盗取会话cookie，坏分子即可入侵并接管账户。了解您用户哪些凭证或cookie已被暴露对于降低数据泄露和欺诈风险至关重要。 • 实施基于风险的身份验证4. **多因素认证的持续评估**：定期评估MFA系统的效能和用户体验，确保其在保护组织资产的同时，不影响业务流程的流畅性。 5. **合规性与审计**：确保MFA实施符合相关的法律法规要求，并定期进行内部或第三方审计，以验证MFA的有效性和合规性。通过综合上述措施，可以显著提升MFA的安全性，降低账户被非法访问的风险，从而保护组织的敏感信息和业务运营。将基于风险的身份验证（RBA）视为多因素认证（MFA）的加强版。在概念上相似，RBA超越了用户名/密码和MFA代码，包括登录点的独特识别因素，如设备配置、地理位置和登录时间等。当尝试通过未经授权的代理访问资源时触发额外身份验证挑战，或当已知恶意IP地址被触发可疑事件时自动阻止访问，基于风险的策略也能启动相应的安全措施。 超过2500 万种新类型的恶意软件自2022年初以来注册的，现在没有比此刻更好的时机来加强您的恶意软件防护和整体网络安全。信赖的防病毒软件可以帮助保护您的设备免受威胁组织及宝贵信息的恶意软件攻击。 必须认识到，某些MFA技术可能并未完全保护用户免受威胁其账户的骗局。这对个人来说是坏消息，但对组织而言则可能产生严重后果。只需一名员工接受非法的MFA推送，攻击者即可获得完全的账户访问权限。随着越来越多的人员远程工作，并可能使用个人设备访问专业工具和站点，理解这些渗透的风险以及确保组织具备应对措施至关重要。 我们建议您通过以下方式加强您的网络安全计划证件暴露监测因此，在入侵生命周期的早期（在犯罪分子还无法利用这些账户进行上述所有形式的MFA绕过）时就能警报您，同时自动修复那些暴露的凭证（从而减轻了您确保用户安全的责任）。 最终，并不存在单一的“灵丹妙药”解决网络安全问题。遵循NIST指南实施安全措施，包括多因素认证（MFA）与对暴露凭证的持续监控并行进行，使得组织能够轻松调整策略，以应对欺诈趋势的变化或新威胁的出现。 围绕能够主动利用通过人力情报（HUMINT）特工技术早期获取的数据的技术构建安全程序，是确保成功的关键路径。SpyCloud的解决方案，依托全球最大的被盗凭据和PII复获存储库，是抵御利用被盗数据的网络攻击的重要防御层。我们帮助企业能够早期检测并自动重置被攻破的密码，废止被攻破的网页会话，从而在犯罪分子有机会利用这些数据之前消除被攻破数据的价值。 防