湛揚部落格

2019-03-06
新的滲透測試工具能夠繞過雙重認證

作者 John E Dunn

隨著新攻擊不斷出現,態勢越來越明朗:常用的雙因素身份驗證 (2FA) 不再是固若金湯的安全保護。

最新且也許是最重要的發現之一,是波蘭研究人員 Piotr Duszyński 公佈了一個名為 Modlishka (波蘭語“Mantis” 的英文發音) 的工具。它能夠自動化釣魚攻擊,破解利用 SMS 發送或使用驗證應用程式產生的動態密碼 (OTP)。

Modlishka 是一個和被釣魚的網站位於相同伺服器的工具,可以截取使用者受欺騙後傳送的任何憑證和 2FA 權杖。

它的行為就像一個反向代理伺服器,巧妙地從真實網站提供使用者的內容,使攻擊看起來更具說服力,而不是複製出一個網路釣魚網站 (比方說 Gmail)。

使用者會認為他們正在與真實網站互動,因為他們真的是。但同時,Modlishka 正在使用者不知道的情況下記錄所有資訊。

這支影片示範如何使用 Modlishka 攻擊 Google 使用者,但它可以很容易地使用於任何使用相同驗證的服務。

Duszyński 這樣解釋:

 這個工具應該對所有的滲透測試人員非常有用,因為他們希望發動有效的網路釣魚活動 (這也是他們紅隊服務項目的一部分)。 

發佈這樣一個強大的工具是對的嗎?照理說,是對的。將其用於預期的用途時 (進行滲透或社交工程測試時,模擬針對 2FA 的網路釣魚攻擊),它可提供對此類安全漏洞的重要觀察。

網路犯罪分子方面則無須擔心,很多其他工具都可以做到類似的工作,因為網路釣魚 OTP 程式碼不是一種新技術。

在 (去年 12 月) 幾天之內,就有其他幾份目標性攻擊中成功利用網路釣魚獲取 OTP 程式碼的報告發表。

第一份是高價值的美國企業遭到鎖定 ,第二份則是國際特赦組織公佈有 1,000 多名人權活動人士的電子郵件帳戶遭到入侵。

後者野心勃勃,還試圖破解 ProtonMail 和 Tutanota 等電子郵件服務,這些服務擁有額外的安全防護並記錄所有存取活動。

該怎麼辦?

OTP 網路釣魚有其限制,首先是最長只有 30 秒的密碼有效時間。它在此段期間必須使用程式碼攔截密碼以免其失效。還必須用社交工程手法影響目標使用者,誘騙他們瀏覽網路釣魚網站。

如果您使用密碼管理程式輸入憑證,其在網路釣魚網站上並不會運作,因此您可以將這一點視為可疑的徵兆。

然而,最好的防禦措施不是放棄 OTP 2FA,而是轉向更安全的技術,而且幾乎所有大型網站現在都提供這種選擇。

正如 Duszyński 所說:

目前,從技術角度來看,解決此問題的唯一方法是完全依賴使用 U2F 通訊協定的 2FA 硬體權杖。

您可以從 Yubico 購買 U2F 權杖,也可以向 Google 購買 Titan 安全金鑰。因為它們都使用公開金鑰加密,所以它們不會傳輸可用於網路釣魚的程式碼。

理想情況下,您需要購買並註冊兩個權杖 (一個是備份之用),費用約 40 英鎊 (50 美元)。我們認為這項投資是值得的,因為您可以用一把金鑰保護許多網站。

如果您嫌這種安全防護太貴,請想想萬一遭到網路釣魚郵件入侵,您無法使用或必須重置 Facebook 或 Twitter 帳戶的成本。

 

英文原文:  https://nakedsecurity.sophos.com/2019/01/11/2fa-codes-can-be-phished-by-new-pentest-tool/?cmp=28009 

圖片


回上頁   |   下一則