top of page
    • 2022年11月24日

多重身份驗證如何對抗網路釣魚?

已更新:2023年6月15日

文章來源 / Okta Official Blog


憑證釣魚(Credential Phishing)是一種欺騙用戶洩露敏感個人資訊的作法(例如業務應用程式的身份驗證憑證),是當今網路上最普遍的基於身份的攻擊形式之一。隨著資安公司和對手持續玩著「貓捉老鼠」的遊戲,即便不同的資安防護技術在持續演化,依然有更巧妙的攻擊媒介在對抗著。


例如,一種多樣態的網路釣魚逐漸興起,可以繞過原本掃描 E-Mail 安全工具「得逞」,原本安全工具的掃瞄元素包括發件人地址、主題、副本和簽名等元素),但這一類攻擊技術可以不斷改變這些元素,進而逃避檢測。


針對這種行為,通常可以透過檢查網域是否使用 TLS 證書這類的檢測機制,進而得知是否正受到惡意行為者的阻撓。但這些惡意行為者,往往透過免費的 TLS 證書供應商(例如 LetsEncrypt)設置採用 HTTPS 的虛假網域,巧取攻擊機會。


使用多因子身份驗證 (MFA) 作為附加安全措施的組織報告指出,針對 MFA 的網路釣魚攻擊次數已有所增加,這些攻擊不僅會針對第一個驗證因子進行攻擊,更不會輕易放過第二個因子。


大多數組織在提高用戶意識、加強察覺網路釣魚消息和辨別虛假網域的工作上已投入更多努力。然而,有鑑於現代攻擊中普遍存在複雜的技術(例如,使用 Cyrilllic 字母而不是常規字母註冊網域),一些員工就極有可能會上當,點入指向惡意網域的網頁連結。


以下這篇文章,特別整理出為了對抗日益複雜的網路釣魚攻擊,MFA 扮演的重要性,並強調了在傳統雙因子身份驗證(2FA)機制的基礎上,透過採用更高保證級別的身份驗證器,可以充分抵禦網路釣魚。


這篇文章特別了對抗網路釣魚 MFA 作為應對網路釣魚攻擊日益複雜的對策的重要性,並強調了加強傳統雙因子身份驗證 (2FA) 機制以通過使用具有更高保證級別的身份驗證器使其抵禦網路釣魚的重要性。


現代憑證網路釣魚攻擊的工作原理:居於中間的對抗者


過去,憑證網路釣魚攻擊往往遵循一種趨勢——對手會為關鍵任務應用程式重新創建靜態的 HTML 登入頁面模板,將指向這些虛假頁面的鏈接發送給受害者,並記錄輸入的憑證,從而進行攻擊或在暗網上進行兜售。例如,2FA 能夠使用基於 SMS 的 OTP 阻止此類攻擊。


但在 Okta 觀察到的最近一波複雜的網路釣魚攻擊中,可以看到對手從靜態模板轉向基於反向代理的框架,在真實網站和虛假網站之間設置代理並即時掛載,促成AiTM中間人攻擊。這些框架允許客戶端的請求傳遞到另一台伺服器。這讓框架可以充當 AiTM 代理,有效攔截來自客戶端的所有請求,修改並將它們轉發到另一台伺服器。然後它可以攔截伺服器的響應,修改它們,並將它們轉發回客戶端。此設置允許威脅者捕獲與 POST 請求數據包一起發送的憑證,並在成功登入後捕獲從代理伺服器發回的有效會話 cookie,然後可將其用於 SSO 進入真正的網域。

此類框架的使用案例之一稱作 Evilginx,可繞過雙因子驗證的高階釣魚框架,更是一種在網路上可以免費獲得的開源工具。Evilginix 作為獨立的 AiTM 反向代理,可以用於仿冒登陸憑證和會話 Cookie,進而允許繞過 2FA 雙因子驗證保護。以下是此類攻擊如何運作的步驟:

1. 威脅行為者下載並配置 Evilginx,其為用於發起 AiTM 攻擊的反向代理攻擊框架。


2. 對手設置了一個虛假網域並使用免費憑證服務,例如 LetsEncrypt,可免費提供 TLS 證書,將網站「偽裝」成一個合法和安全的網站。


3. 攻擊方透過 E-Mail 或文本向受害者發送網路釣魚訊息。


4. 受害者點擊網路釣魚 URL,並在註冊域上獲得虛假的應用程式的登入畫面。


5. 受害者輸入密碼並被提示輸入第二個因子認證碼。


6. 受害者進行身份驗證,Evilginx 捕獲在 2FA 之後生成的會話 cookie。


7. 受害者被重新定向至新的 URL,並想知道為什麼身份驗證不起作用。


8. 與此同時,攻擊方已經捕獲了憑證和會話令牌,並使用它們通過 MFA 繞過登入到真實網站,敏感資料和應用程式已然暴露在攻擊下。



傳統 MFA 和預防釣魚 MFA


值得注意的是,傳統的 2FA/MFA 仍然是防止多種形式的憑證盜竊的有效保護形式,因為它限制了攻擊方可以用竊取到的密碼能做的行為;即便攻擊方試圖繞過其檢測,仍能保有大多數的檢測機會。


然而,這些依賴於 SMS 或基於E-Mail的 OTP、推送通知等的傳統機制存在一個關鍵缺陷– 它們無法區分合法網域和惡意網域。為此,MFA 對於防止諸如 AiTM 類型的攻擊至關重要。那麼,防釣魚 MFA 到底包含哪些內容,又如何比 2FA 更安全呢?


美國國家標準與技術研究院 (NIST) 已發布特別出版物 800-63B,其中闡明了聯邦機構實施數位身份服務的技術要求,並幫助定義了可抵禦網路釣魚的 MFA。本出版物中確定的關鍵網路釣魚抵抗條件包括:


  • 使用身份驗證器和用戶身份之間的加密綁定的驗證器模擬抵抗(impersonation resistance)

  • 透過 OTP 設備、密碼驗證器和查找秘密的重送阻力(replay resistance)

  • 透過確保驗證者儲存的任何公鑰與已批准的加密算法的使用相關聯來抵制驗證者妥協阻力(Verifier-compromise resistance)

  • 要求用戶響應每個身份驗證或重新身份驗證請求 身份驗證意圖(authentication intent)


簡單來說,要使 MFA 機制被認為可以抵抗 AiTM 攻擊的網路釣魚,所使用的驗證器應該以密碼方式綁定到網域,並且能夠區分真實域和攻擊者生成的假網域。這樣,該機制可以立即停止攻擊,使攻擊者無法捕獲憑證或會話 Cookie 並進行回放。身份驗證器是終端用戶擁有和控制的東西,例如 PIV 卡、密碼、Yubikey 等,用於對帳號進行身份驗證。


NIST 出版物還提供了一些用於定義身份驗證器保證級別 (AAL) 的有用指南。這些指南將不同身份驗證器的優勢進行了比較,在選擇針對網路釣魚和其他形式的身份盜用,有哪些是具有高度抵抗力的身份驗證器。


Okta 支持的身份驗證器類型

保證等級

驗證器 / 驗證方法

缺點

優點

​密碼

  1. ​用戶密碼管理習慣差(使用普通密碼、記下密碼、重複使用密碼等)容易導致數據洩露

  2. 促成社交工程和網路釣魚的主要風險來源

  3. 當密碼要求太複雜時,用戶往往會忘記密碼

  4. 難以在移動設備上打字

  1. 以低成本提供基本安全性

  2. 易於使用和部署

  3. 用戶熟悉使用密碼登入的過程

安全問題

  1. ​用戶經常忘記他們的答案

  2. 許多問題都很薄弱,使得答案很容易被猜到

  3. 易受社交和網路釣魚的影響

  1. 以低成本提供基本安全性

  2. 用戶熟悉登入時回答安全問題的過程

簡訊、語音、E-Mail

一次性密碼 (OTP)

  1. ​用戶熟悉的體驗,因為許多消費者應用程式已經使用 OTP 作為一種帳戶/身份驗證形式

  2. 易於部署,因為大多數人都有電話

  1. 依靠電話/互聯網服務供應商商提供安全保障;易受社交工程影響(例如 SIM 交換)

  2. 可能需要使用個人設備,這在某些地區無法強制執行

  3. 有限的 DMARC 標準實施,意味著檢測基於電子郵件的詐欺很困難

行動/桌面式

一次性密碼


使用案例:Okta 驗證 OTP、Google身份驗證器、Authy

  1. ​成本低,許多用戶能夠在筆記型電腦或手機上安裝應用程式

  2. 算法生成; 通過安全渠道進行交付

  3. 基於加密的安全性

  4. 不需要使用網路/數據服務

  1. 生物識別驗證可以設置為身份驗證固有的

  2. 對被盜設備的保護有限

  3. 可能需要使用個人設備,這在某些地區無法強制執行

  4. 易受到即時的中間人攻擊

​中等

行動應用推送通知

使用範例:Okta 通過推送驗證

  1. ​低成本; 許多用戶能夠在筆記型電腦或手機上安裝應用程式

  2. 透過演算法生成;透過安全渠道進行交付

  3. 一些應用程式支持生物識別

  4. 方便使用的

  1. ​可能需要使用個人行動設備——用戶可能有隱私問題,在某些地區無法強制執行

  2. 容易受到中間人和網路釣魚攻擊

​中等

​物理令牌一次性密碼 (OTP)

使用範例:Symantec VIP

  1. 透過演算法生成

  2. 不需要網路/數據服務即可使用

  3. 不需要個人電話/設備

  1. ​可能會丟失,可能需要單獨的恢復選項

  2. 更高的部署和供應成本;組織可能不會部署給所有用戶

  3. 許多 OTP 令牌不支持生物識別

​Okta FassPass

  1. ​為所有託管設備以及非託管設備上的 MacOS、Windows 和 Android 提供網路釣魚防護

  2. 無縫的用戶體驗

  3. 由 Okta Verify利用設備上下文收集信號,另一些則是可透過整合的合作夥伴(如 CrowdStrike 和 Tanium)進行,以此收集幫助管理員根據設備狀態做出策略決策

  4. 可以降低因子註冊和重置的 IT 和支持成本

​需要安裝 Okta Verify(MFA 精簡型用戶端)並且需要註冊用戶

​FIDO 2 平台驗證器(Apple Passkeys、Mac Touch ID、Android 指紋、Windows Hello)和密碼

  1. ​防止網路釣魚

  2. 無縫的最終用戶體驗

  3. 讓組織走上無密碼之路

  4. 可以降低因子註冊和重置的 IT 和支持成本

  1. ​跨平台支持度很差

  2. 憑證備份到雲可能會為依賴設備型身份驗證器的組織帶來安全問題

最高

​個人身份驗證 (PIV)/ 通用訪問卡 (CAC) 智慧卡

  1. ​技術成熟

  2. 極強的認證級別

  3. 防網路釣魚的內置 MFA(需要 PIN 才能訪問)

  1. ​需要一個插入型、基於接觸的閱讀器

  2. 很容易丟失或被盜

  3. 在行動平台上未得到廣泛支持

  4. PIN 重置過程可能很痛苦

最高

​FIDO 2.0

基於硬體的安全密鑰

使用範例:YubiKey

  1. ​防網路釣魚

  2. 跨平台覆蓋

  3. 無縫的最終用戶體驗

  4. 讓組織走上無密碼之路

  5. 可以降低因子註冊和重置的 IT 和支持成本

  1. ​尚未廣泛採用

  2. 初始成本高,因為它可能需要購買新硬體


如果攻擊方以端點為攻擊目標怎麼辦?


一些網路釣魚攻擊,仰賴於傳遞惡意/勒索軟體,進而接管帳號和設備、同時劫持憑證和會話。為了解決此類端點威脅,Okta 與領先的端點保護和管理供應商(如 VMware 和 CrowdStrike)合作。這些整合將設備風險信號傳遞到 Okta Identity Cloud 中,以解鎖跨端點生態系統的更安全、無縫的訪問。


Okta 的憑證網路釣魚抵抗能力


Okta 提供端到端、以身份為中心、防網路釣魚的身份驗證,支持從業務合作夥伴到擴展勞動力的所有用戶角色,並為組織大規模工作。其中包括:

Okta 的解決方案可與任何設備管理工具進行整合,以強制執行防網路釣魚的身份驗證流程。Okta 還支持將設備檢查添加到身份驗證策略規則中,以便管理員為有權訪問組織中的系統和應用程式的設備建立最低要求。




Comments

bottom of page