如今,双因素身份验证已成为网上安全的必要条件。我们看到每个数字平台都在吹捧它是你账户最重要的安全步骤。虽然这种说法可能会让你感到安心,但要知道,有既定的方法可以绕过这道安全墙。更令人担忧的是,你几乎没有办法防止这些黑客的入侵。
双因素身份验证之所以被誉为网上安全的缩影,是因为它采用了两种不同级别的安全代码。一个是您为帐户设置的密码,而另一个是您在登录时(或在需要时)收到(通过文本或代码生成器)随机生成的代码。由于随机代码只有您掌握,因此即使您的密码被泄露,您的帐户也可能是安全的。
但是随着时间的推移,黑客已经找到了几种方法来绕过这个看似万无一失的安全设置。最初,这些方法依赖于简单的语音网络钓鱼,通过以某种借口欺骗他/她来从帐户持有人那里获取随机代码。现在,这些攻击2FA的尝试变得更加复杂。
一项新研究指出,它们在黑客社区中也变得越来越普遍。
石溪大学和网络安全公司Palo Alto Networks的研究人员进行的研究发现了许多可用于破解2FA设置的“网络钓鱼工具包”。该研究首先被The Record发现,还提到这些工具包正在暗网上积极出售,给任何想用它来入侵账户的人。
绕过两步验证
正如研究报告中指出的那样,研究人员已经设法在网上找到了1200多个网络钓鱼工具包。这些工具包包含恶意代码,使黑客能够对目标发起复杂的网络攻击。这些攻击专门用于从系统中窃取2FA身份验证cookie,从而允许黑客绕过2FA安全性。
这是通过所谓的中间人(MITM)攻击完成的,其中黑客能够通过一个采用反向代理服务器的钓鱼网站重定向受害者的计算机流量。因此,这些攻击在目标系统和网站之间建立了一个通道,黑客就坐在中间,观察每一个信息的流动。
当受害者将2FA代码提交到目标网站时,它会通过网络钓鱼站点流动。该研究指出,一旦身份验证完成,“目标Web服务器提供的会话cookie就会被MITM网络钓鱼工具包保存”。因此,攻击者将来能够“以受害者的名义”向网站发送经过身份验证的请求,并访问他们的帐户。
不幸的是,虽然使用2FA很容易,但一个普通的互联网用户几乎无法阻止对它的此类攻击。研究提到,必须在网络级别识别这些工具包,并且所有主要网络服务提供商都必须将钓鱼网站列入黑名单。研究人员还创建了一个名为PHOCA的指纹识别工具,用于自动检测网络上的MITM网络钓鱼工具包。为了帮助应对来自此类工具包的攻击,研究人员开源了PHOCA及其精选的数据集。