·WhiteMail 安全团队#trends#mfa#aitm
趋势——绕过 MFA 的方法:MFA 疲劳、AiTM、会话令牌窃取
多重要素验证(MFA)阻挡了一个巨大的问题:单靠一组被偷来的密码,再也无法登录。不出所料,攻击者转换了方向。如今的趋势是一系列瞄准第二要素、或干脆完全跳过它的技巧。
手法简明整理
- MFA 疲劳(推送轰炸) — 攻击者已经取得密码,并向受害者的手机疯狂发送批准通知,赌的是对方终究会因为厌烦、混乱或习惯而按下一次批准。要素本身“有效运作”,但被磨损的是人。
- AiTM(中间人攻击, adversary-in-the-middle) — 受害者被诱导至一个介于他们与真正登录页面之间的代理页面。受害者输入密码并真正完成了 MFA,但代理会在传输过程中拦截由此产生的会话令牌(session token)。攻击者接着重放(replay)该令牌——连 MFA 一并——完成登录。
- 会话令牌 / Cookie 窃取 — 同样构想的另一种路径。恶意代码或恶意页面窃取已通过验证的会话 Cookie,攻击者再重复使用它。登录已经发生过了,他们只是借用那个结果。
共同点:这些手法没有一个真正破解 MFA 的密码学,而是绕过它——利用负责批准的人,或是在事后窃取正当登录的证明。
为什么通常是邮件为第一步
这一切几乎都从一封消息开始。AiTM 需要受害者点击代理页面的链接。MFA 疲劳需要密码,而那组密码通常来自更早之前的钓鱼攻击。邮件是那扇门,MFA 绕过则是有人穿过那扇门之后才会发生的事。
可以采取的行动
- 在可行的地方,优先采用抗钓鱼型 MFA(如 Passkey / FIDO2 等硬件绑定要素)。与一次性验证码或推送批准不同,它们的设计本身就能抵御 AiTM。
- 训练一种特定的反射动作:不是自己发起的批准通知,应该是拿去举报,而不是按下批准。不要为了让通知停下来就按下批准。
- 缩短敏感系统的会话时效并加以监控,以缩小被窃令牌仍具利用价值的时间窗口。
- 并且要守住那扇门。传递 AiTM 链接或收割密码的诱饵,说到底首先是一个邮件问题。在点击之前先读出消息的意图,是切断整条攻击链成本最低的一点。
怀疑某个链接会导向凭证窃取页面?把邮件放进分析控制台,让 SA-03 帮你追踪它真正的目的地。