MFA並非100%有效 網路犯罪分子可透過這幾種方式輕鬆破壞

使用多因素身份驗證( MFA)是一個很好的安全防護手段，但與其他方式一樣，它並非萬無一失，而且不可能100%有效。

許多人認為多因素認證( MFA)是最終的網路防禦手段，有了它，企業和個人“感覺”更安全，並認為這是一種萬無一失的方式。畢竟，攻擊者需要登入憑據和對輔助裝置的訪問許可權才能破壞系統。然而，這種錯誤的安全感是危險的，因為伴隨惡意軟體和網路攻擊手段不斷提升，繞過這些保護措施已經變得相對容易。

就像我們可以透過複雜的網路安全防護技術來加強系統一樣，網路犯罪分子也可以使用相同的技術來利用弱點。他們甚至可以使用合法的基礎設施繞過MFA並訪問公司網路和個人資料從而威脅到我們的 軟體安全及 資料安全。以下是惡意軟體常用並取得成功的攻擊方式。

中間人攻擊

一種普遍的攻擊方法是中間人(MitM)或反向Web代理攻擊。在這種情況下，惡意使用者透過電子郵件或簡訊傳送連結，將目標指向一個類似(幾乎完全一樣)合法網站的釣魚網站。實際上，即便是經過訓練的眼睛也不一定能分辨出其中的真偽。

例如，假設銀行的登入頁面使用了雙因素身份驗證(2FA)。攻擊者知道，即使有使用者名稱和密碼，他們也無法訪問該網站。因此，他們在釣魚頁面和實際服務之間設定了反向網路代理(因此得名“中間人”)。

當使用者在釣魚網站上輸入真實憑據時，它會與合法服務通訊，後者又將第二因素令牌或程式碼傳送給使用者。當使用者在釣魚網站上提交身份驗證程式碼時，不知不覺中就向攻擊者提供了訪問帳戶所需的最後一條資訊。

這種攻擊的簡單性在GitHub工具包中得到了說明，該工具包可自動執行中間人流程。釋出此程式碼的研究人員是出於教育目的，但同時也使公眾可以輕鬆獲得惡意工具包。

惡意的OAuth的應用程式

這些攻擊利用OAuth標準的普遍性進行訪問授權。每個雲服務都允許使用者訪問網站或第三方授權應用程式，並且無需持續使用其使用者名稱和密碼登入，透過OAuth令牌授予這些網站和應用程式帳戶訪問許可權。然而，由於授予許可權的過程非常快速、簡單和方便，人們很容易(並且已經)被誘騙授權惡意應用程式。

這些攻擊集中在接收指向原始供應商站點的網路釣魚連結(透過電子郵件、簡訊或其他方法)。在這種型別的攻擊中，使用者單擊連結請求其使用者名稱和密碼。一旦完成，該頁面會請求訪問第三方應用程式的許可權，在使用者同意後，惡意軟體就可以完全訪問該帳戶。想象一下，如果使用者是CTO或CIO，無意中授予了對企業整個Active Directory的訪問許可權，從而使業務完全開放，後果不堪設想。

瀏覽器劫持

這可以說是最危險的攻擊形式。隨著雲在我們的職業和個人生活中逐漸標準化，幾乎我們所做的一切事情都是透過瀏覽器完成。網上銀行、購物、共享公司檔案、視訊會議等。為了簡化這一點，所有現代瀏覽器都依賴於與瀏覽器具有相同訪問許可權和許可權的擴充套件或外掛。無論瀏覽器“看到”什麼，外掛都可以訪問。

舉個例子，使用者收到一個釣魚連結，要求他們下載一個特定的擴充套件。攻擊者使用社會工程技術來獲得人們的信任，並安裝偽裝成合法的、通常甚至是眾所周知的應用程式的外掛。安裝後，該外掛可以輕鬆地從瀏覽器中抓取 所有資料，包括MFA程式碼、銀行詳細資訊和其他敏感文字。

披著羊皮的狼

一些企業將谷歌、Dropbox或SharePoint等合法雲服務列入白名單，因此很容易在這些服務上設定釣魚頁面。事實上，雖然仍有必要尋找可疑的域名，但這已經變得特別具有挑戰性。人們通常認為，如果一個域名看起來是合法的，那麼這個網站就可以被信任。此外，網路釣魚攻擊不再僅僅侷限於電子郵件，簡訊和電話詐騙也變得越來越普遍，透過協作渠道甚至社交媒體進行的攻擊也越來越普遍，可見 資料安全的威脅無處不在。

穩妥的安全防護方式

沒有任何一種安全防禦裝置能實現一勞永逸，今天，最好的防禦形式是透過對系統內部與外部進行全面安全防禦。人們很容易出現人為錯誤，所以安全是一個長期話題。隨著駭客逐漸針對系統漏洞進行攻擊，安全防禦也應從被動防守轉到主動防禦上來，企業需要從不同層面加強安全建設。建議在應用軟體開發初期，透過悟空 靜態程式碼檢測和 開原始碼安全測試等手段，減少安全漏洞/降低執行時缺陷從而增強軟體防禦漏洞攻擊能力，同時部署安全可靠的安全裝置及軟體，防守惡意軟體攻擊。同樣重要的是，沒有任何一項安全防護手段是100%有效的，時刻警惕安全事故發生，做好網路攻擊應急準備可以降低受攻擊的風險，減少經濟損失。