MFA並非100%有效 網路犯罪分子可透過這幾種方式輕鬆破壞
使用多因素身份驗證( MFA)是一個很好的安全防護手段,但與其他方式一樣,它並非萬無一失,而且不可能100%有效。
許多人認為多因素認證( MFA)是最終的網路防禦手段,有了它,企業和個人“感覺”更安全,並認為這是一種萬無一失的方式。畢竟,攻擊者需要登入憑據和對輔助裝置的訪問許可權才能破壞系統。然而,這種錯誤的安全感是危險的,因為伴隨惡意軟體和網路攻擊手段不斷提升,繞過這些保護措施已經變得相對容易。
就像我們可以透過複雜的網路安全防護技術來加強系統一樣,網路犯罪分子也可以使用相同的技術來利用弱點。他們甚至可以使用合法的基礎設施繞過MFA並訪問公司網路和個人資料從而威脅到我們的 軟體安全及 資料安全。以下是惡意軟體常用並取得成功的攻擊方式。
中間人攻擊
一種普遍的攻擊方法是中間人(MitM)或反向Web代理攻擊。在這種情況下,惡意使用者透過電子郵件或簡訊傳送連結,將目標指向一個類似(幾乎完全一樣)合法網站的釣魚網站。實際上,即便是經過訓練的眼睛也不一定能分辨出其中的真偽。
例如,假設銀行的登入頁面使用了雙因素身份驗證(2FA)。攻擊者知道,即使有使用者名稱和密碼,他們也無法訪問該網站。因此,他們在釣魚頁面和實際服務之間設定了反向網路代理(因此得名“中間人”)。
當使用者在釣魚網站上輸入真實憑據時,它會與合法服務通訊,後者又將第二因素令牌或程式碼傳送給使用者。當使用者在釣魚網站上提交身份驗證程式碼時,不知不覺中就向攻擊者提供了訪問帳戶所需的最後一條資訊。
這種攻擊的簡單性在GitHub工具包中得到了說明,該工具包可自動執行中間人流程。釋出此程式碼的研究人員是出於教育目的,但同時也使公眾可以輕鬆獲得惡意工具包。
惡意的OAuth的應用程式
這些攻擊利用OAuth標準的普遍性進行訪問授權。每個雲服務都允許使用者訪問網站或第三方授權應用程式,並且無需持續使用其使用者名稱和密碼登入,透過OAuth令牌授予這些網站和應用程式帳戶訪問許可權。然而,由於授予許可權的過程非常快速、簡單和方便,人們很容易(並且已經)被誘騙授權惡意應用程式。
這些攻擊集中在接收指向原始供應商站點的網路釣魚連結(透過電子郵件、簡訊或其他方法)。在這種型別的攻擊中,使用者單擊連結請求其使用者名稱和密碼。一旦完成,該頁面會請求訪問第三方應用程式的許可權,在使用者同意後,惡意軟體就可以完全訪問該帳戶。想象一下,如果使用者是CTO或CIO,無意中授予了對企業整個Active Directory的訪問許可權,從而使業務完全開放,後果不堪設想。
瀏覽器劫持
這可以說是最危險的攻擊形式。隨著雲在我們的職業和個人生活中逐漸標準化,幾乎我們所做的一切事情都是透過瀏覽器完成。網上銀行、購物、共享公司檔案、視訊會議等。為了簡化這一點,所有現代瀏覽器都依賴於與瀏覽器具有相同訪問許可權和許可權的擴充套件或外掛。無論瀏覽器“看到”什麼,外掛都可以訪問。
舉個例子,使用者收到一個釣魚連結,要求他們下載一個特定的擴充套件。攻擊者使用社會工程技術來獲得人們的信任,並安裝偽裝成合法的、通常甚至是眾所周知的應用程式的外掛。安裝後,該外掛可以輕鬆地從瀏覽器中抓取 所有資料,包括MFA程式碼、銀行詳細資訊和其他敏感文字。
披著羊皮的狼
一些企業將谷歌、Dropbox或SharePoint等合法雲服務列入白名單,因此很容易在這些服務上設定釣魚頁面。事實上,雖然仍有必要尋找可疑的域名,但這已經變得特別具有挑戰性。人們通常認為,如果一個域名看起來是合法的,那麼這個網站就可以被信任。此外,網路釣魚攻擊不再僅僅侷限於電子郵件,簡訊和電話詐騙也變得越來越普遍,透過協作渠道甚至社交媒體進行的攻擊也越來越普遍,可見 資料安全的威脅無處不在。
穩妥的安全防護方式
沒有任何一種安全防禦裝置能實現一勞永逸,今天,最好的防禦形式是透過對系統內部與外部進行全面安全防禦。人們很容易出現人為錯誤,所以安全是一個長期話題。隨著駭客逐漸針對系統漏洞進行攻擊,安全防禦也應從被動防守轉到主動防禦上來,企業需要從不同層面加強安全建設。建議在應用軟體開發初期,透過悟空 靜態程式碼檢測和 開原始碼安全測試等手段,減少安全漏洞/降低執行時缺陷從而增強軟體防禦漏洞攻擊能力,同時部署安全可靠的安全裝置及軟體,防守惡意軟體攻擊。同樣重要的是,沒有任何一項安全防護手段是100%有效的,時刻警惕安全事故發生,做好網路攻擊應急準備可以降低受攻擊的風險,減少經濟損失。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2779396/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網際網路營銷只需做到這幾點輕鬆寫好軟文稿
- VMware連線網路的幾種方式
- 小白學大資料掌握這幾個方法可輕鬆入門大資料
- 【基礎】這15種CSS居中的方式,你都用過哪幾種?CSS
- 幾種常見網路抓包方式介紹
- 透過AIOps進行網路管理的常用方式AI
- oracle資料庫透過sqlplus連線的幾種方式介紹Oracle資料庫SQL
- 黑客通過VPN攻擊知名防毒工具,破壞內部網路黑客防毒
- AI安全對抗中,只用一招輕鬆騙過五種神經網路AI神經網路
- 如何透過 Rancher 輕鬆實現多雲部署
- 注意這幾點,輕輕鬆鬆配置 Nginx + Tomcat 的叢集和負載均衡NginxTomcat負載
- 什麼是網路滲透測試?網路滲透測試分為幾種型別?型別
- 單例模式的幾種實現And反射對其的破壞單例模式反射
- 網路安全中常用的幾種加密方式都有哪些?加密
- Cisco VPN套件中過期的SSL證書將破壞網路配置套件
- 連上專線後就不能上網了,我還是透過這種方式才能上網
- 加快修補!網路犯罪分子仍在利用這些舊漏洞
- 這9個單例被破壞的事故現場,你遇到過幾個? 評論區見單例
- 天星金融錢包三種刷卡方式 助你輕鬆出行
- 減少運維工作量,如何透過 ROS 輕鬆實現資源編排新方式運維ROS
- 中概股迴歸並非“無路可走”
- 如何透過PMP認證?5個準備步驟讓你輕鬆透過考試!
- python 透過 Web3.py 連線以太坊區塊鏈的幾種方式PythonWeb區塊鏈
- 在Qt中,可以透過以下幾種常見方式來啟動執行緒QT執行緒
- JZ2440在U-boot中通過網路方式燒錄映象的幾種方法boot
- 如今網路推廣的方式方法很多,但並非所有的方式都適合CZM
- Docker幾種網路模式Docker模式
- 瞭解這幾招 耗材真假您也能輕鬆辨別!
- 注意這幾點,輕鬆實現硬碟資料恢復硬碟資料恢復
- 掌握這些方法,輕鬆識破釣魚郵件的偽裝
- 這12種方法輕鬆合併Python中的列表Python
- 研究顯示運動並不是一種有效的減肥方式
- 公司網站修改聯絡人,輕鬆幾步完成網站
- webapi透過docker部署到Linux的兩種方式WebAPIDockerLinux
- 學會這幾招,輕鬆讓你的github脫穎而出Github
- js 幾種網路請求方式梳理——擺脫回撥地獄JS
- 網路安全攻擊方式有幾種?常見型別介紹!型別
- 網頁佈局------幾種佈局方式網頁