Muraena和NecroBrowser證明自動網絡釣魚攻擊可以繞過雙因素身份驗證

我們對密碼的無限依賴是研究人員尋求確保網絡安全的新方法的原因之一。 多因素身份驗證或雙因素身份驗證是為我們的個人數據提供強大附加安全保護的安全功能之一。雖然它並不完美,但黑客更難以訪問敏感信息。

然而,研究人員Michele Orru和Giuseppe Trotta最近證明,通過網絡釣魚攻擊可以繞過雙因素身份驗證。雖然它需要某些工具來實現這一點,但它清楚地表明,依靠單一的身份驗證方法不足以確保您的個人數據安全。

什麼是雙因素身份驗證

在我們詳細介紹之前,我們應該盡快告訴您雙因素身份驗證,以及為什麼它是身份驗證的首選方法。雙因素身份驗證背後的要點是它使用唯一的安全令牌,只有嘗試訪問特定帳戶的用戶才應該擁有。此外,這些令牌通常是一次性密碼,很快就會到期。

通常,這些令牌是用戶在其電子郵件或移動電話中收到的臨時代碼。這些代碼保護用戶及其數據免受傳統網絡釣魚攻擊,因為無法攔截它們。或者我們想到一個月前。

雙因素身份驗證漏洞

在我們開始討論之前,請注意沒有必要恐慌,因為安全研究發現了這些雙因素身份驗證漏洞。我們可以說這項研究與我們之前在我們關於黑客工具的帖子中所描述的類似:研究人員正在尋找通過指出其漏洞使認證過程更加強大的方法。

那麼,如何繞過雙因素身份驗證?要使網絡釣魚攻擊成功,通常的網絡釣魚網站需要充當代理。這意味著它們必須作為受害者與發布雙因素身份驗證代碼的原始網站之間的連接。此連接必須是即時的,以便犯罪分子可以獲得允許他們訪問目標帳戶的臨時會話cookie。

研究人員表示,這種技術並非聞所未聞。這個想法已經存在了很長一段時間;只是沒有技術可以幫助它。更不用說反向代理功能在使用子資源完整性(SRI)和內容安全策略(CSP)的網站上不起作用,這些策略實質上阻止了代理。

這是由研究人員Orru和Trotta開發的Muraena和NecroBrowser進入圖片的地方。如果有人想知道如何繞過雙因素身份驗證,這些工具可以幫助他們做到這一點。一旦完成,就有可能發起成功的網絡釣魚攻擊。

Muraena和NecroBrowser

儘管與這些工具相關的技術說法對普通用戶來說可能並不多,但我們認為稍微討論這兩種工具很重要,因為它們是可以開發以改進網絡釣魚攻擊的一個很好的例子。

NecroBrowser是一種可用於網絡釣魚後自動化的工具。它是一種微服務,允許用戶指定目標門戶. 換句話說,它有助於劫持合法的身份驗證會話,並且當攻擊者提供在網絡釣魚活動期間收集的會話時,該服務應該代表受害者執行操作。根據工具應該執行的操作,它可以執行自動密碼重置,擠出信息,模擬用戶,使用新密鑰的後門帳戶等等。

另一方面, Muraena是一個用Go編程語言編寫的反向代理。此代理應該自動化網絡釣魚攻擊和其他後網絡釣魚活動。此工具允許攻擊者為其域獲取合法證書,從而使得更難注意到網絡釣魚網站。此外,代理作為爬蟲程序,檢查所有資源並自動決定它可以代理哪個資源。因此,當它收到來自受害者的請求時,代理會重寫它們並傳遞它們,實際上允許攻擊者接管通過它傳遞的信息。

Muraena和NecroBrowser都將瀏覽器變成了殭屍,所執行的操作可以完全自動化。我們不要忘記攻擊者也可以編寫工具來執行各種操作。如果他們可以截取電子郵件截圖或向郵箱添加惡意地址,那就不足為奇了。這只會確保網絡釣魚攻擊進一步蔓延。如果這些工具或類似的工具落入壞人之手,未來可能會出現危險的網絡釣魚攻擊。

用戶可以做什麼?

安全專家一致認為,沒有一個永久解決這個問題的方法。由於創建Muraena和NecroBrowser以指出雙因素身份驗證漏洞,因此他們只表明用戶不應將所有雞蛋放在一個籃子中,可以這麼說。

雖然雙因素身份驗證肯定是向前邁出的一步,但您應該將其與其他可以改善網絡安全的方法結合使用。在密碼方面,您可能希望使用密碼管理器來存儲和生成密碼。有些人還建議使用USB硬件令牌進行雙因素身份驗證,而不是一次性密碼,但USB解決方案也不具備防彈功能,因為攻擊者可以簡單地編寫工具來拒絕USB令牌身份驗證,從而發出臨時代碼請求。因此,我們必須記住,總有一種方法可以繞過雙因素身份驗證。

此外,保持警惕並警惕那些試圖推動您驗證身份的網絡釣魚郵件至關重要。如果您通過電子郵件中的鏈接登錄身份驗證網站,請確保您確實在正確的網站上,並且域名是合法的。如有疑問,您可以隨時檢查是否有TLS或SLL指示符(如GlobalSign鎖定圖標)。缺少這些指標是您所在網站可能是惡意的第一個跡象。如果您還沒有輸入您的個人信息,那麼退款永遠不會太晚,因此請務必對您在線分享的數據負責。

July 16, 2019