网络犯罪分子对智能手机的激进攻击正在削弱许多组织安全程序的关键:基于文本的多因素身份验证 (MFA)。
大局:专家们早就警告说,仅依靠向某人的手机发送代码来确认其身份的身份验证协议很容易被操纵。
推动新闻:优步本周早些时候表示,其最近的安全事件是所谓的“MFA疲劳”攻击的结果,黑客在他们的手机上向某人发送垃圾邮件,直到他们接受身份验证请求。
今年,MFA 疲劳攻击也导致了 Okta 和 Cisco 的重大漏洞。
工作原理:MFA 是一个要求人们提供除密码之外的第二种身份识别形式的过程。一个流行的例子是将代码发送到您的手机。
在安全工具提供商 Yubico 委托的 S&P Global 去年进行的一项调查中,41% 的受访者表示,他们公司的 IT 员工和网络管理员使用短信进行 MFA。
当黑客在 SIM 交换攻击中超越人们的手机时,或者通过发送网络钓鱼电子邮件将人们引导到收集他们一次性代码的虚假登录页面时,黑客可以窃取 MFA 代码。
Tessian 的首席信息安全官 Josh Yavor 说,网络犯罪分子甚至可以游戏基于应用程序的身份验证器,例如 Google Authenticator。
重要性:随着黑客开始投入更多时间来瞄准人们的手机,网络钓鱼文本变得越来越可信。
F5 安全副总裁 Angel Grant 表示,几乎没有什么办法可以阻止黑客瞄准手机并更好地说服受害者屈服于要求。
言外之意:由于缺乏阻止网络钓鱼和垃圾邮件的良好解决方案,安全专家一直在推动组织寻求更多针对设备的解决方案。
一个老派的想法是向所有员工发放 YubiKey,它们本质上是 USB,用户可以点击他们的设备来验证他们的身份。但是,物理设备很容易丢失并且对员工来说很麻烦。
另一个流行的想法是过渡到支持 FIDO 联盟行业标准的设备,这是一种要求用户从特定设备登录以验证身份的加密模型。
是的,但是:对于公司而言,实施全新的登录协议可能具有挑战性——尤其是当他们使用遗留软件或自己构建内部应用程序时。
升级遗留软件通常是不可能的,公司构建的应用程序可能是由外部承包商开发的。
阴谋:对于无法在物理设备身份验证上进行投资的公司来说,中间地带仍然存在。
如果组织已经在使用这些公司的商业产品,那么通过谷歌、微软和其他公司的应用程序发送的推送通知相对容易过渡。
组织还可以专注于加强内部控制,以限制员工可以使用的信息,因此如果黑客获得访问权限,他们就无法无所顾忌。
