隨著新攻擊不斷出現,態勢越來越明朗:常用的雙因素身份驗證(2FA)不再是固若金湯的安全保護。最新且也許是最重要的發現之一,是波蘭研究人員Piotr Duszyński公佈了一個名為Modlishka(波蘭語“Mantis”的英文發音)自動化執行釣魚攻擊工具,可破解利用SMS發送或使用驗證應用程式產生的一次性密碼(One Time Password,OTP)。
Modlishka的手法是利用釣魚網站來截取使用者受欺騙後傳送的任何憑證與雙因素驗證,行為模式就如同反向代理伺服器,可巧妙地提供使用者網路上的真實內容,使攻擊看起來更具說服力,而非僅複製登入畫面以蒙騙使用者(例如Gmail),並且讓使用者以為是真實網站的互動機制,事實上,Modlishka在使用者不知情之下背景記錄所有資訊。
網路上公開的影片(https://vimeo.com/308709275)清楚示範利用Modlishka攻擊手法,得以輕易地騙取Google使用者的驗證資訊。Piotr Duszyński說明:「這個工具應該對所有的滲透測試人員都非常有用,可藉此來發動有效的網路釣魚活動(這也是他們紅隊服務項目的一部分)。」
發布如此強大的工具是對的嗎?照理說,並沒有錯。應用在預期的情境時,例如執行滲透測試、社交工程演練等,模擬針對雙因素驗證發動的網路釣魚攻擊,可以更加深入觀察潛在的安全漏洞。網路犯罪分子則影響不大,畢竟網路釣魚OTP程式碼並非新技術,現行已有許多工具可達到類似效果。
破解利用SMS發送或使用驗證應用程式產生的一次性密碼。
例如在2018年12月期間,就已有幾份目標性攻擊中,成功利用網路釣魚獲取OTP程式碼的報告發表。第一份是高價值的美國企業遭到鎖定;第二份則是國際特赦組織公佈有1,000多名人權活動人士的電子郵件帳戶遭到入侵。後者野心勃勃,還試圖破解ProtonMail和Tutanota等電子郵件服務,這些服務擁有額外的安全防護並記錄所有存取活動。
究竟該如何因應?首先必須了解,OTP網路釣魚有其限制,例如密碼最長只有30秒有效時間,期間必須使用程式碼進行攔截以免失效,同時會搭配運用社交工程手法影響目標使用者,誘騙使其點選瀏覽釣魚網站。Piotr Duszyński認為,從技術角度來看,解決此問題的唯一方法是改用通用第二因素(Universal 2nd Factor,U2F)通訊協定的2FA實體金鑰,可以從Yubico購買,也可向Google訂購Titan安全金鑰。
最理想情況是購買並註冊兩種實體金鑰(一個是備份之用),費用大約50美元,如此投資之所以值得,是因為得以採用一把金鑰保護多數網站服務的登入帳密。若認為這類安全防護機制價格過高,那麼請想像一下,萬一自己不經意遭到網路釣魚郵件入侵,導致Facebook、Twitter等日常工作必須瀏覽的網路服務帳密被惡意竊取,可能影響到商譽,加上重置耗費的時間,或許遠高於事前的成本開支。
<本文由Sophos提供>