FBI警告说,社会工程技术可以帮助绕过多因素身份验证

不久前,我们讨论了两因素身份验证和多因素身份验证系统的实用性,以及它们如何帮助用户保护帐户免受黑客攻击。但是,随着时间的流逝,网络安全专家证明,没有任何系统是不可战胜的,并且如果攻击者有足够的能力,资金和决心这样做,则可以绕过所有安全措施。 联邦调查局的公告中提供了最新的证明。它讨论了FBI对多因素身份验证系统的观察到的攻击,并警告不要盲目依赖额外的安全层。这是否意味着使用多因素身份验证或设置强密码会浪费您的时间?您可以在此博客文章中进一步找到这些问题的答案。此外,在本文的其余部分中,我们将讨论黑客如何绕过多因素身份验证以及此类攻击的发生频率。

黑客如何绕过多重身份验证?

根据FBI的警告,黑客借助常见的社会工程技术和技术攻击绕过了多重身份验证。该公告特别警告有关SIM卡交换处理多因素身份验证的网站的弱点以及黑客工具 (例如MuraenNecroBrowser)的警告

SIM交换 (也称为端口骗局)是一种攻击,在此攻击期间,欺诈者针对验证系统中的一个漏洞,该漏洞需要安全码,该安全码应通过手机接收。为了进行这种攻击,网络犯罪分子必须将目标受害者的电话号码移植到属于他们的设备上。大多数电话公司为丢失SIM卡并希望保留其旧电话号码的用户提供此类服务。因此,要成功进行SIM交换攻击,黑客必须学习有关目标受害者的足够信息,以便他们可以冒充他并说服他的电话提供商将所需的电话号码转移到新的SIM卡上。请记住,如果网络罪犯成功,则应阻止用户原始的SIM卡。因此,如果您发现SIM卡不再可用,则应尽快与电话公司联系,并检查是否有人非法交换了SIM卡。

接下来,我们有名为Muraen和NecroBrowser的黑客工具。它们是在2019年6月在阿姆斯特丹举行的“ Hack-in-the-Box”会议上介绍的。这些工具是为自动钓鱼攻击创建的,可以绕过两因素身份验证。在这些过程中,上述工具会创建网站的副本,可以通过该网站访问目标帐户。传统的网络钓鱼网站与借助Muraen和NecroBrowser工具创建的虚假网站之间的区别在于,较新的网站可以从原始网站中请求验证码。因此,尝试通过假网站登录的用户将收到来自合法站点的验证码。一旦输入了这样的代码,黑客不仅可以使用它登录目标帐户,还可以获取会话Cookie或会话令牌,以供将来登录时使用。

黑客多久绕过一次多重身份验证?

如果您正在关注网络安全新闻,则可能已经注意到研究人员会不时报告针对多重身份验证系统的新攻击。您可能已经读到,由于此类攻击很少发生,因此没有统计信息 。这样做有两个原因。首先,尽管网络安全专家建议使用多因素身份验证,但仍有许多用户不愿意启用它。这意味着,网络犯罪分子不必攻击受到此类安全措施保护的帐户,因为受保护的目标很多。其次,使用多因素身份验证入侵帐户并不像仅受密码保护的帐户入侵那样简单。这样的攻击需要更多的时间,金钱和更先进的黑客工具。换句话说,虽然攻击受到严格保护的公司帐户可能会带来更大的回报,但许多黑客发现掠夺较弱的目标更加容易,也更有利可图。

是否仍然建议使用多重身份验证?

简而言之,答案是肯定的。尽管有时多重身份验证可能无法保护帐户,但仍然是保护自己在线的最佳方法。如前所述,这种攻击很少发生,因为许多网络犯罪分子选择了更易于访问的目标。自然,如果更多用户开始使用多重身份验证,则黑客将来别无选择,只能攻击受其保护的帐户。但是,目前,多重身份验证的额外安全层可以抵御传统的网络钓鱼攻击和其他仅针对受密码保护的帐户而设计的攻击。

如果启用了多重身份验证,是否需要使用强密码?

最后,您可能想知道如果启用了多重身份验证,使用强密码是否有任何意义。同样,答案是肯定的。当涉及保护个人信息,您的银行帐户或黑客可能在您的帐户上找到的任何其他敏感内容时,您应该利用可以采用的所有安全措施。此外,仍有一些网站,平台和应用程序不提供多因素身份验证。在这种情况下,您帐户的安全性可能取决于您设置的密码。

毫无疑问,创建强密码并确保您永远不会忘记它们的最简单方法是使用密码管理器。为确保您的登录凭据也受到保护,我们建议使用专用的密码管理器,而不是浏览器随附的集成功能。如果您想要一个可以确保安全并免费提供许多有用功能的工具,建议您尝试使用Cyclonis Password Manager 。它适用于所有主要操作系统。而且,它可以生成强大的密码并为您记住它们,并自动将您登录到您的帐户。要了解其可以提供的所有功能,您应该在此处继续阅读。

总而言之,即使可以绕过多重身份验证,它仍然似乎是保护自己帐户的最佳方法。当然,有很多多重身份验证选项,有些比其他选项更安全。因此,如果您能够选择,则应研究所有可用的选项并选择被认为是最强的选项。此外,不要盲目地依赖于额外的安全层,您永远也不应失去警惕并警惕网络钓鱼网站,并确保黑客无法轻易地交换您的SIM卡。此外,关注网络安全新闻和学习如何避免成为最新骗局的受害者,这从未有过任何伤害。

December 9, 2019

发表评论