产业气象站|设备感知2FA如何击败社会工程攻击


产业气象站|设备感知2FA如何击败社会工程攻击
文章图片
尽管设备感知(device-aware)的双因素身份验证(2FA)不是万能灵药 , 但它确实要比传统的基于SMS的2FA更为安全 。 原因如下:
在攻击者和防御者间不断升级的军备竞赛中 , 首当其冲的最新防御方式就是双因素身份验证 。 攻击者在使用社会工程技术击败双因素身份验证并成功控制受害者账户方面取得了明显进展 。
【产业气象站|设备感知2FA如何击败社会工程攻击】但是 , 许多攻击都可以通过对现有方法进行较细微的修改来重组部分身份验证过程 , 从未组织这种情况 。 这是从基于账户的双因素身份验证(通常使用SMS一次性密码或OTP , 发送到注册的电话号码中)到设备感知的双因素身份验证的转变 。 使用设备感知双因素身份验证 , 银行、电子邮件服务或其他服务提供商就会仅接受来自先前与该帐户关联的已识别设备的操作尝试 。
攻击者如何通过社会工程学击败2FA
基于SMS的双因素身份验证已被服务提供商广泛采用于各种领域 , 包括金融机构、电子邮件服务、社交网络以及在线市场等等 。 根据市场研究机构JavelinStrategy&ampResearch于2019年发布的一份调查数据显示 , 在使用任何形式双因素身份验证的消费者网站中 , 约有57%使用的是SMS一次性密码(OTP) 。
使用基于SMS的双因素身份验证的网站 , 通过SMS将代码发送到注册的手机号码中 。 然后 , 用户再将该代码键入或粘贴到网站中 。 在此过程中 , 攻击者可以通过SIM劫持技术来劫持手机号码 , 也可以使用社会工程手段来诱骗受害者将代码主动提供给攻击者 , 从而获得该代码信息 。
在进行SIM劫持时 , 诈骗者可以借助高超的社会工程手段和不懈的毅力 , 来说服无线运营商的员工将受害者的电话号码转移到攻击者所拥有的新SIM卡上 。 然后 , 攻击者就可以接收发送给受害者的所有SMSOTP , 从而致使与那些SMS密码关联的所有受害者帐户都具有被接管的风险 。
尽管到目前为止 , 尚未找到有效的技术解决方案 。 但可喜的是 , 人们对于SIM劫持和多因素身份验证(MFA)以及其他威胁的安全意识正在逐步提高 。 美国联邦调查局在去年9月份曾警告称 , 网络犯罪分子正在利用社会工程和技术攻击来规避多因素身份验证机制 。 在去年8月份一起广为流传的事件中 , 攻击者通过SIM劫持技术接管了Twitter首席执行官杰克·多尔西(JackDorsey)的Twitter帐户 , 然后使用该帐户发布了许多纳粹宣传 。 11月份 , Twitter开始允许用户选择使用除基于SMS的2FA以外的2FA方法 。 但是其提供的选项(身份验证器应用程序和安全密钥)同样具有自己的漏洞 , 包括技术或社会工程风险 。 可以说 , Twitter现在实际上是允许用户选择他们所面临的漏洞 , 而不是彻底解决问题 。
根据卡巴斯基实验室提供的调查结果显示 , 类似“SIM卡互换”这样的攻击现在很普遍 , 甚至已经发展成了一个日益突出且极具威胁的存在 。 事实证明 , 通过成功欺骗运营商将用户的电话号码转移到新的SIM卡 , 或通过贿赂其中一个代理商来破坏双因素身份验证是一种非常简单的方法 。 由于运营商是此类攻击的薄弱环节 , 他们有责任寻找通过其呼叫中心和客户服务团队运行的可疑行为 , 以便及时找出被网络犯罪分子贿赂的欺诈行为或代表 。 至少 , 消费者应该联系他们的电话运营商并要求将额外的安全性应用到他们的帐户 , 例如 , 如果没有通过非短信渠道提供的验证码 , 则不允许更改帐户 。
需要注意的是 , 网络犯罪分子利用“SIM卡互换骗局”不仅能够窃取凭证并捕获通过短信发送的OTP(一次性密码) , 而且还会对受害者造成财务影响 , 所以 , 必须重视起来 。
使用设备感知2FA阻止账户接管
帐户提供商可以通过切换身份验证方法来实现双因素身份验证的更安全版本 。 使用传统的基于SMS的双因素身份验证要求用户证明“他/她有权访问与该账户关联的电话号码” 。 而使用设备感知双因素身份验证 , 用户必须同时证明“她/他有权访问该电话号码”以及“他/她有权访问与该账户关联的实际电话(或其他设备)” 。