Muraena和NecroBrowser证明自动网络钓鱼攻击可以绕过双因素身份验证

我们对密码的无限依赖是研究人员寻求确保网络安全的新方法的原因之一。 多因素身份验证或双因素身份验证是为我们的个人数据提供强大附加安全保护的安全功能之一。虽然它并不完美,但黑客更难以访问敏感信息。

然而,研究人员Michele Orru和Giuseppe Trotta最近证明,通过网络钓鱼攻击可以绕过双因素身份验证。虽然它需要某些工具来实现这一点,但它清楚地表明,依靠单一的身份验证方法不足以确保您的个人数据安全。

什么是双因素身份验证

在我们详细介绍之前,我们应该尽快告诉您双因素身份验证,以及为什么它是身份验证的首选方法。双因素身份验证背后的要点是它使用唯一的安全令牌,只有尝试访问特定帐户的用户才应该拥有。此外,这些令牌通常是一次性密码,很快就会到期。

通常,这些令牌是用户在其电子邮件或移动电话中收到的临时代码。这些代码保护用户及其数据免受传统网络钓鱼攻击,因为无法拦截它们。或者我们想到一个月前。

双因素身份验证漏洞

在我们开始讨论之前,请注意没有必要恐慌,因为安全研究发现了这些双因素身份验证漏洞。我们可以说这项研究与我们之前在我们关于黑客工具的帖子中所描述的类似:研究人员正在寻找通过指出其漏洞使认证过程更加强大的方法。

那么,如何绕过双因素身份验证?要使网络钓鱼攻击成功,通常的网络钓鱼网站需要充当代理。这意味着它们必须作为受害者与发布双因素身份验证代码的原始网站之间的连接。此连接必须是即时的,以便犯罪分子可以获得允许他们访问目标帐户的临时会话cookie。

研究人员表示,这种技术并非闻所未闻。这个想法已经存在了很长一段时间;只是没有技术可以帮助它。更不用说反向代理功能在使用子资源完整性(SRI)和内容安全策略(CSP)的网站上不起作用,这些策略实质上阻止了代理。

这是由研究人员Orru和Trotta开发的Muraena和NecroBrowser进入图片的地方。如果有人想知道如何绕过双因素身份验证,这些工具可以帮助他们做到这一点。一旦完成,就有可能发起成功的网络钓鱼攻击。

Muraena和NecroBrowser

尽管与这些工具相关的技术说法对普通用户来说可能并不多,但我们认为稍微讨论这两种工具很重要,因为它们是可以开发以改进网络钓鱼攻击的一个很好的例子。

NecroBrowser是一种可用于网络钓鱼后自动化的工具。它是一种微服务,允许用户指定目标门户. 换句话说,它有助于劫持合法的身份验证会话,并且当攻击者提供在网络钓鱼活动期间收集的会话时,该服务应该代表受害者执行操作。根据工具应该执行的操作,它可以执行自动密码重置,挤出信息,模拟用户,使用新密钥的后门帐户等等。

另一方面, Muraena是一个用Go编程语言编写的反向代理。此代理应该自动化网络钓鱼攻击和其他后网络钓鱼活动。此工具允许攻击者为其域获取合法证书,从而使得更难注意到网络钓鱼网站。此外,代理作为爬虫程序,检查所有资源并自动决定它可以代理哪个资源。因此,当它收到来自受害者的请求时,代理会重写它们并传递它们,实际上允许攻击者接管通过它传递的信息。

Muraena和NecroBrowser都将浏览器变成了僵尸,所执行的操作可以完全自动化。我们不要忘记攻击者也可以编写工具来执行各种操作。如果他们可以截取电子邮件截图或向邮箱添加恶意地址,那就不足为奇了。这只会确保网络钓鱼攻击进一步蔓延。如果这些工具或类似的工具落入坏人之手,未来可能会出现危险的网络钓鱼攻击。

用户可以做什么?

安全专家一致认为,没有一个永久解决这个问题的方法。由于创建Muraena和NecroBrowser以指出双因素身份验证漏洞,因此他们只表明用户不应将所有鸡蛋放在一个篮子中,可以这么说。

虽然双因素身份验证肯定是向前迈出的一步,但您应该将其与其他可以改善网络安全的方法结合使用。在密码方面,您可能希望使用密码管理器来存储和生成密码。有些人还建议使用USB硬件令牌进行双因素身份验证,而不是一次性密码,但USB解决方案也不具备防弹功能,因为攻击者可以简单地编写工具来拒绝USB令牌身份验证,从而发出临时代码请求。因此,我们必须记住,总有一种方法可以绕过双因素身份验证。

此外,保持警惕并警惕那些试图推动您验证身份的网络钓鱼邮件至关重要。如果您通过电子邮件中的链接登录身份验证网站,请确保您确实在正确的网站上,并且域名是合法的。如有疑问,您可以随时检查是否有TLS或SLL指示符(如GlobalSign锁定图标)。缺少这些指标是您所在网站可能是恶意的第一个迹象。如果您还没有输入您的个人信息,那么退款永远不会太晚,因此请务必对您在线分享的数据负责。

July 16, 2019