·WhiteMail 資安團隊#trends#mfa#aitm
趨勢——繞過 MFA 的方法:MFA 疲勞、AiTM、工作階段權杖竊取
多重要素驗證(MFA)阻擋了一個巨大的問題:單靠一組被偷來的密碼,再也無法登入。不出所料,攻擊者轉換了方向。如今的趨勢是一系列瞄準第二要素、或乾脆完全跳過它的技巧。
手法簡明整理
- MFA 疲勞(推播轟炸) — 攻擊者已經取得密碼,並向受害者的手機瘋狂發送核准通知,賭的是對方終究會因為厭煩、混亂或習慣而按下一次核准。要素本身「有效運作」,但被磨損的是人。
- AiTM(中間人攻擊, adversary-in-the-middle) — 受害者被誘導至一個介於他們與真正登入頁面之間的代理頁面。受害者輸入密碼並真正完成了 MFA,但代理會在傳輸過程中攔截由此產生的工作階段權杖(session token)。攻擊者接著重放(replay)該權杖——連 MFA 一併——完成登入。
- 工作階段權杖 / Cookie 竊取 — 同樣構想的另一種路徑。惡意程式碼或惡意頁面竊取已通過驗證的工作階段 Cookie,攻擊者再重複使用它。登入已經發生過了,他們只是借用那個結果。
共同點:這些手法沒有一個真正破解 MFA 的密碼學,而是繞過它——利用負責核准的人,或是在事後竊取正當登入的證明。
為什麼通常是郵件為第一步
這一切幾乎都從一封訊息開始。AiTM 需要受害者點擊代理頁面的連結。MFA 疲勞需要密碼,而那組密碼通常來自更早之前的釣魚攻擊。郵件是那扇門,MFA 繞過則是有人穿過那扇門之後才會發生的事。
可以採取的行動
- 在可行的地方,優先採用抗釣魚型 MFA(如 Passkey / FIDO2 等硬體綁定要素)。與一次性驗證碼或推播核准不同,它們的設計本身就能抵禦 AiTM。
- 訓練一種特定的反射動作:不是自己發起的核准通知,應該是拿去舉報,而不是按下核准。不要為了讓通知停下來就按下核准。
- 縮短敏感系統的工作階段時效並加以監控,以縮小被竊權杖仍具利用價值的時間窗口。
- 並且要守住那扇門。傳遞 AiTM 連結或收割密碼的誘餌,說到底首先是一個郵件問題。在點擊之前先讀出訊息的意圖,是切斷整條攻擊鏈成本最低的一點。
懷疑某個連結會導向憑證竊取頁面?把郵件放進分析主控台,讓 SA-03 幫你追蹤它真正的目的地。