從AiTM看MFA的安全?
近期有一種常見的網上騙案,是使用網絡釣魚工具包(Adversary-in-the-middle, AiTM )釣魚站點的大型網絡釣魚活動竊取用戶密碼,並脅持了登錄會話和跳過身份驗證程序。在這情況下,即使用戶已啟用多重身份驗證( Multi-Factor authentication, MFA )也逃避不了。最後,攻擊者會使用被盜的憑據和會話Cookie來訪問受影響用戶的郵箱,並針對其他目標執行後續業務電子郵件入侵( Business Email Compromise, BEC)活動,為用戶帶來損失。讓我們一起看看其背後的操作流程,防範於未然吧!
當Web服務在成功進行身份驗證後,實現與用戶會話的同時,用戶在不需要在訪問每個新頁面上再次進行身份驗證。這種功能建基於身份驗證服務提供的會話Cookie來實現。
會話Cookie是Web服務器的證明,證明用戶已透過身份驗證,並且在網站上容許持續的會話可能性。在AiTM網絡釣魚中,攻擊者會試圖獲取目標用戶的會話Cookie,以方便他們可以越過身份驗證過程來代表原有用戶採取其他行動。
為此,攻擊者部署了一個Web服務器,這個虛擬的服務器會把來自訪問網絡釣魚站點的用戶 HTTP數據包轉到攻擊者虛擬的服務器,反之亦然。這樣,網絡釣魚站點在視覺上與原始網站完全相同。攻擊者根本不需要像傳統的網絡釣魚活動一樣,要製作自己的網絡釣魚網站。
所以,AiTM方法把攻擊者置身於客戶端與服務器之間的身份驗證過程,以攔截交換並竊取憑據,從而導致MFA信息被盜。簡而言之,第三方充當實際受影響方的客戶端和服務器。
MFA與其他安全措施真的提供了額外的保護,但我們絕對不應把其視為對網絡釣魚攻擊的完全防禦。威脅參與者可以在複雜的AiTM和混淆策略的幫助下,在常規同尖端的安全措施上,仍舊達到想要的效果和目的。
那麼,我們如何防止AiTM攻擊呢?
常言道,教育是最好的保護。安全意識培訓一直都是防止系統對攻擊者的大門,亦是最有效的措施。正正是這個原因,網絡安全員工培訓是未來的必備內容,只有透過提升網絡安全意識,我們才可以大大降低企業的風險。
當然,公司的IT資源及員工接受網絡安全培訓的情況有很大差別,與其盲目去建設自己的平台,我們為何不去尋找一些現有的資源及方法,去加速培訓的進度及完善培訓的效果?
有見及此,HKIRC推出了Cybersec Training Hub,在這個完全免費的網站上,員工可以因應自己的需要安排培訓的時間,使每位員工在趣味和實用的環境下,增加自己的網絡安全意識和技能。一旦員工接受培訓後,在經過一個小測試,完成和合格後,更可獲得個人電子證書,藉此提升自身的增值能力,企業也可贏得良好的口碑,達到企業與員工雙贏的局面。這不是大家想見到的結果嗎?
如果大家想了解更多,大家可以到以下網站cyberhub.hk/。
網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cybersec Infohub 計劃,讓行業裏的網絡安全專家為您解決,如果您懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
