设备感知2FA如何击败社会工程攻击
2020-06-16 10:20:16 Author: www.4hou.com(查看原文) 阅读量:193 收藏

微信图片_20200607153551.png

尽管设备感知(device-aware)的双因素身份验证(2FA)不是万能灵药,但它确实要比传统的基于SMS的2FA更为安全。原因如下:

在攻击者和防御者间不断升级的军备竞赛中,首当其冲的最新防御方式就是双因素身份验证。攻击者在使用社会工程技术击败双因素身份验证并成功控制受害者账户方面取得了明显进展。

但是,许多攻击都可以通过对现有方法进行较细微的修改来重组部分身份验证过程,从未组织这种情况。这是从基于账户的双因素身份验证(通常使用SMS一次性密码或OTP,发送到注册的电话号码中)到设备感知的双因素身份验证的转变。使用设备感知双因素身份验证,银行、电子邮件服务或其他服务提供商就会仅接受来自先前与该帐户关联的已识别设备的操作尝试。

攻击者如何通过社会工程学击败2FA

基于SMS的双因素身份验证已被服务提供商广泛采用于各种领域,包括金融机构、电子邮件服务、社交网络以及在线市场等等。根据市场研究机构Javelin Strategy & Research于2019年发布的一份调查数据显示,在使用任何形式双因素身份验证的消费者网站中,约有57%使用的是SMS一次性密码(OTP)。

使用基于SMS的双因素身份验证的网站,通过SMS将代码发送到注册的手机号码中。然后,用户再将该代码键入或粘贴到网站中。在此过程中,攻击者可以通过SIM劫持技术来劫持手机号码,也可以使用社会工程手段来诱骗受害者将代码主动提供给攻击者,从而获得该代码信息。

在进行SIM劫持时,诈骗者可以借助高超的社会工程手段和不懈的毅力,来说服无线运营商的员工将受害者的电话号码转移到攻击者所拥有的新SIM卡上。然后,攻击者就可以接收发送给受害者的所有SMS OTP,从而致使与那些SMS密码关联的所有受害者帐户都具有被接管的风险。

尽管到目前为止,尚未找到有效的技术解决方案。但可喜的是,人们对于SIM劫持和多因素身份验证(MFA)以及其他威胁的安全意识正在逐步提高。美国联邦调查局在去年9月份曾警告称,网络犯罪分子正在利用社会工程和技术攻击来规避多因素身份验证机制。在去年8月份一起广为流传的事件中,攻击者通过SIM劫持技术接管了Twitter首席执行官杰克·多尔西(Jack Dorsey)的Twitter帐户,然后使用该帐户发布了许多纳粹宣传。11月份,Twitter开始允许用户选择使用除基于SMS的2FA以外的2FA方法。但是其提供的选项(身份验证器应用程序和安全密钥)同样具有自己的漏洞,包括技术或社会工程风险。可以说,Twitter现在实际上是允许用户选择他们所面临的漏洞,而不是彻底解决问题。

根据卡巴斯基实验室提供的调查结果显示,类似“SIM卡互换”这样的攻击现在很普遍,甚至已经发展成了一个日益突出且极具威胁的存在。事实证明,通过成功欺骗运营商将用户的电话号码转移到新的SIM卡,或通过贿赂其中一个代理商来破坏双因素身份验证是一种非常简单的方法。由于运营商是此类攻击的薄弱环节,他们有责任寻找通过其呼叫中心和客户服务团队运行的可疑行为,以便及时找出被网络犯罪分子贿赂的欺诈行为或代表。至少,消费者应该联系他们的电话运营商并要求将额外的安全性应用到他们的帐户,例如,如果没有通过非短信渠道提供的验证码,则不允许更改帐户。

需要注意的是,网络犯罪分子利用“SIM卡互换骗局”不仅能够窃取凭证并捕获通过短信发送的OTP(一次性密码),而且还会对受害者造成财务影响,所以,必须重视起来。

使用设备感知2FA阻止账户接管

帐户提供商可以通过切换身份验证方法来实现双因素身份验证的更安全版本。使用传统的基于SMS的双因素身份验证要求用户证明“他/她有权访问与该账户关联的电话号码”。而使用设备感知双因素身份验证,用户必须同时证明“她/他有权访问该电话号码”以及“他/她有权访问与该账户关联的实际电话(或其他设备)”。

使用传统的基于SMS的双因素身份验证,网站将发送包含密码的SMS。而使用设备感知双因素身份验证,该网站会发送一条带有一个或多个可点击链接的SMS,例如,在问题“您是否要求重置密码?”下有两个可点击的答案,分别代表“是”和“否”。当用户单击“是”链接时,网站将自动检查设备配置文件。

除非攻击者成功偷走了受害者的手机并且已将其解锁,否则攻击者的设备将无法被识别为“先前已与该账户关联”,而且网站也会拒绝攻击者的访问请求。(如果用户点击“否”,那么用户和站点都将意识到攻击行为,并可以采取措施来恢复安全性。)

识别设备的方法

设备感知双因素身份验证机制利用设备识别技术,且已经广泛部署到全球各地,但是使用它们的方式却有所不同。这些设备识别技术可以结合使用,包括网站将各种类型的Cookie放置在设备上;网站通常检查的“只读”浏览器特征,例如“用户代理”和相关的本地数据,以便针对特定设备类型发送正确的显示指令;以及其他特征,例如网络名称,运营商名称和地理位置。

几乎所有网站都已经使用cookie和其他设备标识符进行个性化或欺诈检测。实际上,如果用户尝试从异常位置或无法识别的设备登录,则通常会激活2FA。用于识别设备的选项包括标准HTML cookie和变体,例如flash cookie或cache cookie。

当用户访问网站时,该网站还可以检查用户网络浏览器的特征,例如安装的浏览器类型和版本、触摸屏支持、安装的系统字体、安装的语言、屏幕大小、色深、时区,以及浏览器插件的详细信息。尽管这些数字指纹并非对每种设备独有,但用户硬件和软件属性的排列如此之多,以致攻击者的设备极不可能共享一个通用指纹。

特例:新设备

新的安全措施通常会给正常活动带来一些摩擦。对于设备感知双因素身份验证而言,在大多数情况下其增加的摩擦是最小的。用于建立帐户(或首次设置2FA)的设备将自动链接到该帐户。如果用户从新设备访问该站点,则该站点可以将设备感知的2FA消息发送到旧设备以获得授权。如果身份验证成功,并且用户指出该新设备确实属于她/他,则该新设备将自动注册,然后可用于支持将来的设备感知2FA验证。用于将新设备添加到用户个人资料的其他选项包括:通过扫描原始设备上显示的QR码来授权新设备;或者,如果该设备和原始设备共享浏览器设置(例如同步的Google Chrome浏览器帐户),则允许从新设备进行访问。

但是,如果用户更换手机并且没有注册其他设备会怎样?几乎所有机构都提供了升级方法,以重新获得对帐户的访问权限,即使用户丢失了用于身份验证的手机号码或电子邮件帐户的访问权限也是如此。如果用户更换或遗失了手机,则类似的升级过程可与支持设备的2FA配合使用。例如,用户可能会被要求用户回答基于知识的身份验证问题,或者准确地报告已经与该用户相关联的支票帐户所支付的一笔非常小的款项。

尽管设备感知2FA比传统的基于SMS的2FA更安全,但它当然不是万灵药。在安全专业人员与网络犯罪分子进行的无休止的“追赶式”猫鼠游戏中,几乎每种安全方法最终都会被坚定而足智多谋的攻击者击败。而我们所能做的就是继续完善和智能化我们的方法。

本文翻译自:https://www.darkreading.com/risk/how-device-aware-2fa-can-defeat-social-engineering-attacks/a/d-id/1336904如若转载,请注明原文地址:


文章来源: https://www.4hou.com/posts/7OnO
如有侵权请联系:admin#unsafe.sh