https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

新聞

二階段驗證保護也無效! 釣魚攻擊發展出多種手法

2021 / 03 / 19
編輯部
二階段驗證保護也無效! 釣魚攻擊發展出多種手法
資安廠商 SlashNext 日前發表研究報告指出,駭侵團體已發展出多種不同的手法,可以對應二階段驗證(Two-Factor Authentication, 2FA),使其失去原有的保護能力。

報告指出,二階段驗證過去一直被視為個人或企業保護登入過程的有力武器,可以有效阻隔各種意圖取得登入資訊的駭侵攻擊行動;然而所有的防護手法不可能是萬靈丹,駭侵團體已經發展出多種可使二階段驗證保護失去效力的手法:
  1. 中間人攻擊(Man-in-the-Middle Attacks):
    許多公司行號允許員工在工作用電腦的瀏覽器中安裝多種外掛程式和擴充套件,藉以提升生產力。這類外掛程式和擴充套件雖然方便好用,但也潛藏資安風險,因為有些外掛程式和擴充套件內藏惡意程式碼,可以直接從瀏覽器畫面中取得所需資訊。

    SlashNext 在報告中指出,該公司發現不少在外掛程式和擴充套件中暗藏惡意軟體的案例;這類惡意軟體只要坐等受害者完成二階段驗證流程,進入企業或網銀等重要系統網站後,再開始透過惡意程式碼,進行畫面截圖或資料竊取,再傳送給外部的惡意軟體控制伺服器,即可令二階段驗證的安全關卡完全失效。
     
  2. 詐騙技術支援(Techncal Support Scams):
    在這類攻擊中,駭侵者會假扮成技術支援提供者,要求受害者安裝 TeamViewer 或 LogMeIn 之類的遙控登入軟體,接著就可以在受害者電腦中暗中植入各式惡意軟體,甚至感染整個內部網路。
     
  3. 二階段驗證詐騙視窗:
    駭侵者可藉由幾可亂真的詐騙二階段驗證視窗,取得受害者輸入的二階段驗證碼和用戶的登入資訊,甚至可藉由登入失敗畫面,向用戶騙取更多登入身份驗證所需的機敏資訊。


    本文轉載自TWCERT/CC。