文章來源 / Okta Official Blog
憑證釣魚(Credential Phishing)是一種欺騙用戶洩露敏感個人資訊的作法(例如業務應用程式的身份驗證憑證),是當今網路上最普遍的基於身份的攻擊形式之一。隨著資安公司和對手持續玩著「貓捉老鼠」的遊戲,即便不同的資安防護技術在持續演化,依然有更巧妙的攻擊媒介在對抗著。
例如,一種多樣態的網路釣魚逐漸興起,可以繞過原本掃描 E-Mail 安全工具「得逞」,原本安全工具的掃瞄元素包括發件人地址、主題、副本和簽名等元素),但這一類攻擊技術可以不斷改變這些元素,進而逃避檢測。
針對這種行為,通常可以透過檢查網域是否使用 TLS 證書這類的檢測機制,進而得知是否正受到惡意行為者的阻撓。但這些惡意行為者,往往透過免費的 TLS 證書供應商(例如 LetsEncrypt)設置採用 HTTPS 的虛假網域,巧取攻擊機會。
使用多因子身份驗證 (MFA) 作為附加安全措施的組織報告指出,針對 MFA 的網路釣魚攻擊次數已有所增加,這些攻擊不僅會針對第一個驗證因子進行攻擊,更不會輕易放過第二個因子。
大多數組織在提高用戶意識、加強察覺網路釣魚消息和辨別虛假網域的工作上已投入更多努力。然而,有鑑於現代攻擊中普遍存在複雜的技術(例如,使用 Cyrilllic 字母而不是常規字母註冊網域),一些員工就極有可能會上當,點入指向惡意網域的網頁連結。
以下這篇文章,特別整理出為了對抗日益複雜的網路釣魚攻擊,MFA 扮演的重要性,並強調了在傳統雙因子身份驗證(2FA)機制的基礎上,透過採用更高保證級別的身份驗證器,可以充分抵禦網路釣魚。
這篇文章特別了對抗網路釣魚 MFA 作為應對網路釣魚攻擊日益複雜的對策的重要性,並強調了加強傳統雙因子身份驗證 (2FA) 機制以通過使用具有更高保證級別的身份驗證器使其抵禦網路釣魚的重要性。
現代憑證網路釣魚攻擊的工作原理:居於中間的對抗者
過去,憑證網路釣魚攻擊往往遵循一種趨勢——對手會為關鍵任務應用程式重新創建靜態的 HTML 登入頁面模板,將指向這些虛假頁面的鏈接發送給受害者,並記錄輸入的憑證,從而進行攻擊或在暗網上進行兜售。例如,2FA 能夠使用基於 SMS 的 OTP 阻止此類攻擊。
但在 Okta 觀察到的最近一波複雜的網路釣魚攻擊中,可以看到對手從靜態模板轉向基於反向代理的框架,在真實網站和虛假網站之間設置代理並即時掛載,促成AiTM中間人攻擊。這些框架允許客戶端的請求傳遞到另一台伺服器。這讓框架可以充當 AiTM 代理,有效攔截來自客戶端的所有請求,修改並將它們轉發到另一台伺服器。然後它可以攔截伺服器的響應,修改它們,並將它們轉發回客戶端。此設置允許威脅者捕獲與 POST 請求數據包一起發送的憑證,並在成功登入後捕獲從代理伺服器發回的有效會話 cookie,然後可將其用於 SSO 進入真正的網域。
此類框架的使用案例之一稱作 Evilginx,可繞過雙因子驗證的高階釣魚框架,更是一種在網路上可以免費獲得的開源工具。Evilginix 作為獨立的 AiTM 反向代理,可以用於仿冒登陸憑證和會話 Cookie,進而允許繞過 2FA 雙因子驗證保護。以下是此類攻擊如何運作的步驟:
1. 威脅行為者下載並配置 Evilginx,其為用於發起 AiTM 攻擊的反向代理攻擊框架。
2. 對手設置了一個虛假網域並使用免費憑證服務,例如 LetsEncrypt,可免費提供 TLS 證書,將網站「偽裝」成一個合法和安全的網站。
3. 攻擊方透過 E-Mail 或文本向受害者發送網路釣魚訊息。
4. 受害者點擊網路釣魚 URL,並在註冊域上獲得虛假的應用程式的登入畫面。
5. 受害者輸入密碼並被提示輸入第二個因子認證碼。
6. 受害者進行身份驗證,Evilginx 捕獲在 2FA 之後生成的會話 cookie。
7. 受害者被重新定向至新的 URL,並想知道為什麼身份驗證不起作用。
8. 與此同時,攻擊方已經捕獲了憑證和會話令牌,並使用它們通過 MFA 繞過登入到真實網站,敏感資料和應用程式已然暴露在攻擊下。
傳統 MFA 和預防釣魚 MFA
值得注意的是,傳統的 2FA/MFA 仍然是防止多種形式的憑證盜竊的有效保護形式,因為它限制了攻擊方可以用竊取到的密碼能做的行為;即便攻擊方試圖繞過其檢測,仍能保有大多數的檢測機會。
然而,這些依賴於 SMS 或基於E-Mail的 OTP、推送通知等的傳統機制存在一個關鍵缺陷– 它們無法區分合法網域和惡意網域。為此,MFA 對於防止諸如 AiTM 類型的攻擊至關重要。那麼,防釣魚 MFA 到底包含哪些內容,又如何比 2FA 更安全呢?
美國國家標準與技術研究院 (NIST) 已發布特別出版物 800-63B,其中闡明了聯邦機構實施數位身份服務的技術要求,並幫助定義了可抵禦網路釣魚的 MFA。本出版物中確定的關鍵網路釣魚抵抗條件包括:
使用身份驗證器和用戶身份之間的加密綁定的驗證器模擬抵抗(impersonation resistance)
透過 OTP 設備、密碼驗證器和查找秘密的重送阻力(replay resistance)
透過確保驗證者儲存的任何公鑰與已批准的加密算法的使用相關聯來抵制驗證者妥協阻力(Verifier-compromise resistance)
要求用戶響應每個身份驗證或重新身份驗證請求 身份驗證意圖(authentication intent)
簡單來說,要使 MFA 機制被認為可以抵抗 AiTM 攻擊的網路釣魚,所使用的驗證器應該以密碼方式綁定到網域,並且能夠區分真實域和攻擊者生成的假網域。這樣,該機制可以立即停止攻擊,使攻擊者無法捕獲憑證或會話 Cookie 並進行回放。身份驗證器是終端用戶擁有和控制的東西,例如 PIV 卡、密碼、Yubikey 等,用於對帳號進行身份驗證。
NIST 出版物還提供了一些用於定義身份驗證器保證級別 (AAL) 的有用指南。這些指南將不同身份驗證器的優勢進行了比較,在選擇針對網路釣魚和其他形式的身份盜用,有哪些是具有高度抵抗力的身份驗證器。
Okta 支持的身份驗證器類型
保證等級 | 驗證器 / 驗證方法 | 缺點 | 優點 |
低 | 密碼 |
|
|
低 | 安全問題 |
|
|
低 | 簡訊、語音、E-Mail 一次性密碼 (OTP) |
|
|
低 | 行動/桌面式 一次性密碼 使用案例:Okta 驗證 OTP、Google身份驗證器、Authy |
|
|
中等 | 行動應用推送通知
使用範例:Okta 通過推送驗證 |
|
|
中等 | 物理令牌一次性密碼 (OTP)
使用範例:Symantec VIP |
|
|
高 | Okta FassPass |
| 需要安裝 Okta Verify(MFA 精簡型用戶端)並且需要註冊用戶 |
高 | FIDO 2 平台驗證器(Apple Passkeys、Mac Touch ID、Android 指紋、Windows Hello)和密碼 |
|
|
最高 | 個人身份驗證 (PIV)/ 通用訪問卡 (CAC) 智慧卡 |
|
|
最高 | FIDO 2.0 基於硬體的安全密鑰 使用範例:YubiKey |
|
|
如果攻擊方以端點為攻擊目標怎麼辦?
一些網路釣魚攻擊,仰賴於傳遞惡意/勒索軟體,進而接管帳號和設備、同時劫持憑證和會話。為了解決此類端點威脅,Okta 與領先的端點保護和管理供應商(如 VMware 和 CrowdStrike)合作。這些整合將設備風險信號傳遞到 Okta Identity Cloud 中,以解鎖跨端點生態系統的更安全、無縫的訪問。
Okta 的憑證網路釣魚抵抗能力
Okta 提供端到端、以身份為中心、防網路釣魚的身份驗證,支持從業務合作夥伴到擴展勞動力的所有用戶角色,並為組織大規模工作。其中包括:
使用Okta FastPass抵抗網路釣魚
透過 WebAuthn 支持 FIDO 2 標準
支持 PIV 智慧卡
Okta 的解決方案可與任何設備管理工具進行整合,以強制執行防網路釣魚的身份驗證流程。Okta 還支持將設備檢查添加到身份驗證策略規則中,以便管理員為有權訪問組織中的系統和應用程式的設備建立最低要求。
Comments