FBI警告說,社會工程技術可以幫助繞過多因素身份驗證

不久前,我們討論了兩因素身份驗證和多因素身份驗證系統的實用性,以及它們如何幫助用戶保護帳戶免受黑客攻擊。但是,隨著時間的流逝,網絡安全專家證明,沒有任何系統是不可戰勝的,並且如果攻擊者有足夠的能力,資金和決心這樣做,則可以繞過所有安全措施。 聯邦調查局的公告中提供了最新的證明。它討論了FBI對多因素身份驗證系統的觀察到的攻擊,並警告不要盲目依賴額外的安全層。這是否意味著使用多重身份驗證或設置強密碼會浪費您的時間?您可以在此博客文章中進一步找到這些問題的答案。另外,在本文的其餘部分中,我們將討論黑客如何繞過多因素身份驗證以及此類攻擊的發生頻率。

黑客如何繞過多重身份驗證?

根據FBI警告,黑客借助常見的社會工程技術和技術攻擊繞過了多重身份驗證。該公告特別警告有關SIM卡交換處理多因素身份驗證的網站的弱點以及黑客工具 (例如MuraenNecroBrowser)的警告

SIM交換 (也稱為端口騙局)是一種攻擊,在此攻擊期間,欺詐者針對驗證系統中的一個漏洞,該漏洞需要安全碼,該安全碼應通過手機接收。為了進行這種攻擊,網絡罪犯必須將目標受害者的電話號碼移植到屬於他們的設備上。大多數電話公司為丟失SIM卡並希望保留其舊電話號碼的用戶提供此類服務。因此,要成功進行SIM交換攻擊,黑客必須學習有關目標受害者的足夠信息,以便他們可以冒充他並說服他的電話提供商將所需的電話號碼轉移到新的SIM卡上。請記住,如果網絡罪犯成功,則應阻止用戶原始的SIM卡。因此,如果您發現SIM卡不再可用,則應盡快與電話公司聯繫,並檢查是否有人非法交換了SIM卡。

接下來,我們有名為Muraen和NecroBrowser的黑客工具。它們是在2019年6月在阿姆斯特丹舉行的黑客入侵會議中引入的。這些工具是為自動釣魚攻擊創建的,可以繞過兩因素身份驗證。在這些過程中,上述工具會創建網站的副本,可以通過該網站訪問目標帳戶。傳統的網絡釣魚網站與借助Muraen和NecroBrowser工具創建的偽造網站之間的區別在於,較新的網站可以從原始網站中請求驗證碼。因此,嘗試通過假網站登錄的用戶將收到來自合法站點的驗證碼。一旦輸入了這樣的代碼,黑客不僅可以使用它登錄目標帳戶,還可以獲取會話Cookie或會話令牌,以供將來登錄時使用。

黑客多久繞過一次多重身份驗證?

如果您正在關注網絡安全新聞,則可能已經註意到研究人員會不時報告針對多重身份驗證系統的新攻擊。您可能已經讀到,由於此類攻擊很少發生,因此沒有統計信息 。這樣做有兩個原因。首先,儘管網絡安全專家建議使用多因素身份驗證,但仍有許多用戶不願意啟用它。這意味著,網絡犯罪分子不必攻擊受到此類安全措施保護的帳戶,因為受保護的目標很多。其次,使用多因素身份驗證入侵帳戶並不像僅受密碼保護的帳戶入侵那樣簡單。這樣的攻擊需要更多的時間,金錢和更先進的黑客工具。換句話說,雖然攻擊受到嚴格保護的公司帳戶可能會帶來更大的回報,但許多黑客發現掠奪較弱的目標更加容易,也更有利可圖。

是否仍然建議使用多重身份驗證?

簡而言之,答案是肯定的。儘管有時多重身份驗證可能無法保護帳戶,但仍然是保護自己在線的最佳方法。如前所述,這種攻擊很少發生,因為許多網絡犯罪分子選擇了更易於訪問的目標。自然,如果更多用戶開始使用多重身份驗證,則黑客將來別無選擇,只能攻擊受其保護的帳戶。但是,目前,多重身份驗證的額外安全層可以抵禦傳統的網絡釣魚攻擊和其他僅針對受密碼保護的帳戶而設計的攻擊。

如果啟用了多重身份驗證,是否需要使用強密碼?

最後,您可能想知道如果啟用了多重身份驗證,使用強密碼是否有任何意義。同樣,答案是肯定的。當涉及保護個人信息,您的銀行帳戶或黑客可能在您的帳戶上找到的其他敏感內容時,您應該利用可以採用的所有安全措施。此外,仍有一些網站,平台和應用程序不提供多因素身份驗證。在這種情況下,您帳戶的安全性可能取決於您設置的密碼。

毫無疑問,創建強密碼並確保您永遠不會忘記它們的最簡單方法是使用密碼管理器。為確保您的登錄憑據也受到保護,我們建議使用專用的密碼管理器,而不是瀏覽器隨附的集成功能。如果您想要一個可以確保安全並免費提供許多有用功能的工具,建議您嘗試使用Cyclonis Password Manager 。它適用於所有主要操作系統。而且,它可以生成強大的密碼並為您記住它們,並自動將您登錄到您的帳戶。要了解其可以提供的所有功能,您應該在此處繼續閱讀。

總而言之,即使可以繞過多重身份驗證,它仍然似乎是保護自己帳戶的最佳方法。當然,有很多多重身份驗證選項,有些比其他選項更安全。因此,如果您能夠選擇,則應研究所有可用的選項並選擇被認為是最強的選項。此外,不要盲目地依賴於額外的安全層,您永遠也不應失去警惕並警惕網絡釣魚網站,並確保黑客無法輕易地交換您的SIM卡。此外,關注網絡安全新聞和學習如何避免成為最新騙局的受害者,這從未有過任何傷害。

December 9, 2019

發表評論