利用數據泄露繞過基于短信的雙因素驗證
責編:gltian |2022-08-15 16:18:06依靠短信作為第二種身份驗證因素的公司,令大約20%的客戶面臨風險,因為攻擊系統所需的信息可從暗網上出售的被盜數據庫中獲得。
網絡安全公司FYEO首席技術官Thomas Olofsson表示,綜合各在線數據庫數據得到的大約10億條記錄(相當于世界上五分之一的手機用戶)包含用戶的姓名、電子郵件地址、密碼和電話號碼,為攻擊者提供了進行基于短信的網絡釣魚攻擊(也稱為smishing)所需的一切。
很早以前,網絡安全專家就明白,增加短信一次性密碼不過是種弱雙因素身份驗證形式,是攻擊者能夠攻破的最簡單的雙因素身份驗證形式。然而,將此類攻擊與現成的用戶信息相結合,就形成了賬戶攻擊的“完美風暴”。
美國黑帽安全(Black Hat)大會上,Olofsson計劃在8月10日的一次會議中討論該問題的研究發現,議題為“Smishmash:利用開源情報、網絡釣魚技術和一次性手機實施基于短信的2FA欺騙”。
“我們的研究包含兩個部分:如何繞過2FA,以及我們能將多少手機號關聯到電子郵箱和密碼上。”Olofsson向安全媒體透露道,“事實上,大約五分之一(十億)的人,我們都可以將其電子郵件地址與手機號關聯起來,這真的很糟糕。”
分析發現,通過從已知被盜用戶名和密碼數據庫中收集信息,研究人員能夠創建包含220億條憑證信息的數據庫。將這些憑證與手機號相關聯可使記錄數量減少到10億多條,其中約一半已得到驗證。
想要利用這些記錄,攻擊者可以進行中間對手攻擊,其中基于短信的網絡釣魚攻擊會轉到代理上。目標用戶在移動設備上打開惡意短信中的鏈接時,因為屏幕空間非常狹小,iOS和Android系統的瀏覽器幾乎不會顯示任何安全信息,比如URL。因此,用戶幾乎看不到任何遭到攻擊的跡象,從而令攻擊更加有效,Olofsson表示。
此外,Olofsson稱,基于短信的網絡釣魚攻擊的成功概率是通過電子郵件進行的網絡釣魚攻擊的7倍。
“這種方式讓人極易點擊鏈接。”Olofsson解釋道,“我看我們自己的攻擊都覺得,哇,我都會栽進去。”
今年五月發布的一項分析顯示,在過去兩年中,攻擊者使用短信網絡釣魚來盜取金融賬戶,尤其是與加密貨幣交易所相關的賬戶,2022年截至目前已有超過16億美元的加密貨幣被盜。
短信2FA:風險業務
同時,美國聯邦政府已對將短信用作第二身份驗證因素施加了額外的限制。2016年,美國國家標準與技術研究院(NIST)發出警告稱,不要使用以短信形式發送的一次性密碼作為驗證用戶身份的第二個因素。
“從手機發送的短信可能會無縫切換到發往Skype或谷歌語音電話號碼的互聯網消息。用戶點擊‘發送’的時候不用知道其中差別——這是互聯網的魔力之一。但這一點在安全上確實很重要。”NIST在對該政策的解釋中寫道,并補充稱:“雖然搭配短信的密碼相對于僅使用密碼具有更高級別的保護,但該方式缺乏NIST指南認可的其他認證器所固有的設備認證機制強度。
想要降低此類攻擊的成功率,用戶應無視通過短信收到的任何通知,轉而直接登錄自己的賬戶。
“永遠不要相信短信。”Olofsson稱,“感覺不對勁就不要點擊,別信它。去電腦上看看你有沒有收到電子郵件,因為電子郵件的話至少你可以驗證郵件頭。”
但遺憾的是,許多金融機構和其他公司只提供短信作為身份驗證的第二因素,使用戶毫無選擇,難以實現更好的安全。Olofsson指出,添加reCAPTCHA驗證碼檢查可以向用戶示警,因為任何中間對手攻擊都會顯示代理服務器而非用戶的IP地址。
來源:數世咨詢