多重身份验证将失去效力
在F5发布的《2020网络钓鱼和欺诈报告》中,F5演示了攻击者如何使用实时网络钓鱼代理来绕过多重身份验证(MFA)系统。在实时网络钓鱼代理攻击中使用的虚假网站中,攻击者收集了常见的6位数MFA验证码,并用它来验证真正的目标网站。由于攻击是实时发生的,包括短信、移动端认证应用,甚至令牌在内的MFA方法都没有能够打败实时网络钓鱼代理。自2020年以来,F5持续分享了绕过MFA的技术增长趋势报告,从会话重用攻击到可窃取MFA代码的移动恶意软件,帮助企业高效规避网络攻击。
为了减少MFA阻力,许多新的解决方案依赖于推送通知。当用户试图登录一个系统时,现代解决方案不是要求他们手动输入多因素认证代码,而是向用户的注册手机发送推送通知,要求他们允许或拒绝登入操作。但是,MFA疲劳攻击只会越来越频繁和有效。这种攻击的目的是通过用大量的认证请求骚扰受害者,使他们意外或无奈地允许通知请求。这种类型的攻击将为公司带来直接的风险,因为员工通常是最容易受到社交工程攻击的威胁载体。
除此之外,MFA作为一项关键的安全控制,可用于阻止对关键资产的未授权访问。通常情况下,公司会忽略被破解的密码,或使用要求较低的密码类型,因为有额外的如MFA的补偿性控制。适用于MFA的网络钓鱼工具包和MFA炸弹攻击破除了这种补偿性控制,并再次凸显了口令、深度防御和转向零信任架构的重要性,在这种架构中,企业及个人的安全还需要考虑更多因素。网络安全领域的大部分情况都是防御者和攻击者之间的军备竞赛,认证方法也不例外。当前,攻击者正在使用各种技术来适应MFA解决方案,包括误植域名、账户接管、MFA设备欺诈和社交工程。因此,应用和网络防御者正在考虑下一步的应对策略。
目前,人们对生物识别认证持怀疑态度,因为指纹等生物特征是不可改变的,所以容易被窃取。然而,行为则更难被用于欺骗,通常是针对用户的行为,尤其是在规模上更是如此。这可能包括普遍的行为动作,如使用过的浏览器和所获取的地理位置,网站的导航模式、停留时间等针对应用的行为,以及诸如双击速度、鼠标移动模式、打字速度等用户行为。短期内,在线快速身份认证(FIDO)联盟的通行证解决方案可能是第一个真正有效缓解社交工程攻击的方法,因为用于认证用户的加密密钥是以他们正在访问的网站地址为基础的。这项新技术能多快被普通用户所采用,仍有待观察。