近几年,各家科技公司不断在倡导用户开启多因素验证提高个人帐号的安全性,不过多因素帐号只是提高了侵入难度,并不代表它是个可以让你百毒不侵的铁布衫。近日,微软披露了全球性的大规模网路钓鱼攻击, 即便启用了多因素身份认证保护措施,该钓鱼活动依然可以劫持用户帐户。
微软披露大规模钓鱼活动,即使启用多因素验证仍可能受害
多因素验证又称为双重身分验证、MFA 或是 2FA,是目前主流的帐户安全标准,除了传统的密码外,还要求用户以自己拥有或控制的东西,例如实体安全密钥、指纹、脸部辨识或视网膜扫描等形式来辅助验证身分。MFA 技术的广泛使用为帐户安全多添了一个门槛,提高了骇客侵入用户帐号的难度,不过现在攻击者已经找到方法进行反击。
微软观察到一个活动,发现从去年 9 月以来这项活动就已经针对超过 10,000 个组织发起攻击,透过访问受害者电子邮件帐号诱骗员工向骇客汇款。这项活动在帐户用户与尝试登入的工作伺服器间插入一个由攻击者控制的代理网站,当使用者向代理网站输入密码时,代理网站会先将它发送到真实伺服器-然後将伺服器的回应转发回给用户。待身份验证完成後,攻击者会窃取合法网站对话 Cookie,因此用户无须在访问每一个新网页时重新验证身份。而这一切活动的从一封带有指向代理伺服器 HTML 附件的网路钓鱼邮件开始。
▲带有 HTML 档附件的网路钓鱼电子邮件范例
在微软的一篇官方部落格文章中,Microsoft 365 Defender 研究团队的成员和微软威胁情报中心提到,根据观察在首次登入钓鱼网站的被盗帐户後,攻击者使用被盗的对话 Cookie 对 Outlook online 进行身份验证。在多种情况下,Cookie 都具备有 MFA 声明,这代表即使组织采行 MFA 策略,攻击者也会利用对话 Cookie 代替受感染的帐户获取访问许可权限。
▲ AiTM网路钓鱼网站拦截身份验证过程。
在 Cookie 被盗後的几天内,威胁行为者访问员工的电子邮件帐户并寻找用於商业电子邮件泄露诈骗的讯息,这会欺骗目标将大笔资金汇入他们认为属於同事或是业务合作夥伴的帐户。 攻击者冒用这些电子邮件和被骇员工的身份来说服对方付款。为了防止被骇员工发现,威胁者建立了收件匣规则,自动将特定邮件转移到封存资料夹中并将其标注为已读,且在接下来数日里,攻击者会定期登入以检查他们所建立的邮件规则是否正常运作。
▲ AiTM 网路钓鱼活动和後续 BEC 概述。
该部落格文章里面还表示,由於大量的电子邮件和工作量通常让用户很难确认资讯何时为真,所以员工很容易陷入此种骗局。整个骗局中为数不多的可疑视觉元素之一就是代理网站登入页面中所使用的功能变数名称。基本上启用 MFA 就表示使用者或组织在网路安全方面有较高的认知, 尽管如此,鉴於大多数组织特定登入页面的不透明性,即 是粗略的功能变数名称也可能会让人不察中招。为了抵御此类攻击,微软建议使用具备基於证书的身份验证和 FIDO v2.0 支援的网路钓鱼(phish-resistant) MFA 来实现更高的防护能力。