CISA力推防钓鱼MFA,专家指责是误导用户
近日,CISA发布推动防钓鱼MFA(多因素身份认证)的备忘录和实施指南,敦促机构和企业为所有用户和所有服务(包括电子邮件、文件共享和财务帐户访问)实施防钓鱼MFA。
CISA在备忘录中指出有些MFA方式容易受到网络钓鱼、“消息轰炸”攻击、SS7信令协议漏洞利用和SIM卡交换攻击,导致MFA被绕过。
“防钓鱼MFA”不防钓鱼
CISA还提供了实施防网络钓鱼MFA的指南,宣称FIDO/Web认证和基于PKI的“防钓鱼MFA”是最安全的MFA方法。CISA强烈敦促所有联邦机构都应将MFA看作零信任原则的重要部分和“黄金标准”,优先实施防网络钓鱼MFA。
CISA对“抗钓鱼MFA认证”的推崇遭到了一些网络专家的批评,KnowBe4的罗杰格莱姆斯认为,所谓“抗钓鱼MFA”有误导嫌疑,并指出并不存在不能网络钓鱼的MFA(包括CISA推荐的MFA方案),当今最强大的抗网络钓鱼MFA解决方案也可被社会工程绕过或被黑客攻击。
格莱姆斯指责CISA过度夸大“抗钓鱼MFA”的作用:“这种做法非常危险,会破坏这个行业,并会伤害那些相信这些声明的客户。”
“MFA产品显著减轻了针对常见类型的社会工程攻击,例如中间人攻击,但不知何故被误解为不可钓鱼。”格莱姆斯说道:“事实上,仍然有很多其他方法可以通过社会工程和黑客攻击来绕过MFA解决方案。”
七种真实有效的社会工程攻击方法
格莱姆斯列举了一些真实发生的,不依赖中间人攻击的,针对MFA的社会工程攻击:
1.入侵端点
如果攻击者可以说服受害者下载恶意软件,那么该恶意软件就可以控制用户的桌面或设备,并且没有任何MFA解决方案可以阻止该恶意软件的恣意妄为。由于大部分网络钓鱼电子邮件、短信和受感染的网站都试图诱骗用户下载恶意软件,这意味着这种流行的攻击可以轻松击败所谓的“抗钓鱼MFA”。该方法结合了社会工程和网络钓鱼,适用任何MFA解决方案。
2.入侵MFA的基础设施
如果攻击者可以对MFA身份验证路径中任何组件(例如服务器、数据库等)的管理员或员工进行社交工程,就可以破坏MFA解决方案。即便客户端受害者没有做错任何事,但如果客户端路径中的某个人和提供身份验证的服务器是经过社会工程设计的(他们通常没有运行相同的抗网络钓鱼MFA),最终的结果是一样的,甚至更糟。
此类攻击的一个典型案例是2020年Twitter发生的账户安全事件。一名Twitter员工虽然受到某种形式的MFA保护,但依然被社会工程方法欺骗,攻击者获得了该员工的管理员凭据和工具的访问权限,接管了数十个知名人士的Twitter帐户,例如比尔盖茨和特斯拉创始人马斯克的帐户(编者:马斯克接管Twitter后立刻把安全团队全部解雇了)。
3.账户“恢复”
大多数流行的MFA产品都有自助门户,允许用户在MFA解决方案因某种原因停止工作时“恢复”其帐户。但极为普遍的一种情况是:用户恢复账户所用的认证方法大多数没有MFA解决方案自身安全。例如,只是给用户之前的注册电子邮件地址发送链接,或者用短信发送到用户手机的链接或代码。所有这些方法都不如用户正在使用的MFA方法安全,并且可以很容易遭到社会工程攻击。
对于用短信发送的账户恢复验证信息,最简单的一种黑客攻击方法是攻击者伪装成MFA供应商的员工(例如技术支持)给用户打电话,谎称正在发生某些事件(例如用户的账户遭到黑客攻击),需要向用户发送核验码以“确认”您是真正的帐户持有者。然后攻击者将用户的帐户置于恢复模式,真正的MFA供应商会向用户发送一个短信验证码,然后用户把收到的验证码发给了攻击者。然后黑客顺利接管了用户帐户并更改了用户的身份验证和个人信息。这种案例每天发生数千次。
4.欺骗供应商技术支持
许多受MFA保护的站点允许用户打电话恢复帐户。攻击者使用他们之前通过社交工程从受害者那里获取的信息(例如登录名和密码或PIN),拨打供应商的技术支持电话实施欺诈性帐户恢复。这是一种非常常见的社会工程攻击手段。虽然供应商技术支持有防范钓鱼的行为规则,但是一个优秀的社会工程攻击者总是能够利用人性的弱点,让技术支持代理“脱离规则”。
5.高仿网站
这种类型的攻击并不常见,但它是一种有效的攻击类型,并且在现实世界中发生过不止一次。此类攻击很难甚至不可能预防。在此类攻击中,黑客通过社交工程诱骗受害者访问一个与目标网站高度相似的钓鱼网站。
通常来说,现在的许多MFA解决方案(如FIDO)在用户登录虚假钓鱼网站时会发出安全提示或无法登录。但是高仿网站会伪造整个身份验证流程,用户来到高仿网站,高仿网站要求用户进行身份验证,然后伪造整个验证体验。
例如,受害者被诱骗进入受FIDO保护的高仿网站……假设该网站受支持FIDO的Yubico Yubikey保护。高仿网站会弹出窗口,伪装成FIDO身份验证客户端,要求用户输入他们的PIN,然后再提示用户触摸FIDO密钥上的传感器。用户以为自己已经成功登录到一个真实的网站,开始放松警惕并开始做通常在真实网站上做的事情。但是,攻击者并没有向用户展示整个真实网站(这需要大量工作),而只是向用户询问他们的信用卡或其他个人身份信息(例如,“我们需要重新验证您的信用卡以确保它是有效的”等),放松警惕的用户通常会响应。然后高仿网站会发送一条假冒的错误消息,并将用户带到真实网站的登录屏幕。整个过程非常“丝滑”,用户完全不会觉察到自己已经被攻击。
6.把你的MFA发给我
攻击者可能会伪装成技术支持人员编造各种理由(例如产品损坏或更新)并要求用户将MFA解决方案连同PIN一起发送给他们。无论哪种方式,用户都会被诱骗将MFA解决方案连同通常需要的任何认证信息一起发送给攻击者,攻击者使用发送的信息和设备作为用户接管MFA登录。
7.收到新的MFA
类似上面的方法,伪装成技术支持的攻击者可以向用户发送一个新的但之前已被做过手脚的MFA设备,并告诉用户启用新设备,因为旧设备不再有效。福布斯杂志曾报道过此类案例,攻击者利用该方法成功窃取了大量加密货币。
结论
没有任何MFA解决方案能够完全抵御所有社会工程和网络钓鱼攻击。大多数MFA解决方案,即便是被厂商或官方宣布的“防钓鱼解决方案”也会成为上述攻击的受害者。
本文并不是否认MFA(无论是否“防钓鱼”)的重要性,该解决方案对最常见的攻击类型(例如中间人攻击)具有某种程度的抵抗力,能够大大降低账户风险。但用户也需要清楚地认识到,目前市场上不存在不能被钓鱼的“防钓鱼解决方案”。
参考链接:
