中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

繞過(guò)短信雙因子身份驗(yàn)證的六種方法

2021-02-13    分類: 網(wǎng)站建設(shè)

短消息/短信(SMS)服務(wù)誕生于1992年,第一條短信內(nèi)容是 “圣誕節(jié)快樂(lè)( Merry Christmas )”。

盡管缺點(diǎn)一大堆:沒(méi)有已讀回執(zhí),有字?jǐn)?shù)限制,而且依賴手機(jī)號(hào)碼等等;但短信真的已經(jīng)伴隨我們度過(guò)了27年的時(shí)光。世界上很多人都已經(jīng)遷移到了更好、更安全的消息平臺(tái),比如iMessage、WhatsApp和有望很快推出的融合通信( RCS:Rich Communication Suite )。

短信由于其無(wú)可爭(zhēng)議的泛在性而沿用至今,雖然微信等即時(shí)通訊軟件幾乎取代了短信的溝通方式,但在中國(guó)商業(yè)市場(chǎng)上,業(yè)務(wù)級(jí)的短信收入這兩年反而有不斷增長(zhǎng)的趨勢(shì)。這主要是因?yàn)?,短信做為雙因子認(rèn)證的便易性。

令人擔(dān)憂的是,短信的安全性似乎每天都在下降。盡管美國(guó)國(guó)家技術(shù)與標(biāo)準(zhǔn)局(NIST)在2016年時(shí)就建議不采用短信作為身份驗(yàn)證因子,但很多網(wǎng)站和移動(dòng)應(yīng)用仍要求短信形式的第二身份驗(yàn)證因子。短信的不安全性眾所周知,所以關(guān)于短信作為身份驗(yàn)證系統(tǒng)的討論,倒是更多落腳在到底什么技術(shù)能夠替代它上。

繞過(guò)短信驗(yàn)證的方法多種多樣,不用細(xì)想就能舉出來(lái)一堆。以下這些是最常見的:

1. 手機(jī)號(hào)碼轉(zhuǎn)移

手機(jī)號(hào)轉(zhuǎn)網(wǎng)相對(duì)容易的國(guó)家也就更容易發(fā)生雙因子身份驗(yàn)證(2FA)繞過(guò)攻擊。澳大利亞就是此類攻擊的主要早期狩獵場(chǎng)。攻擊者收集到目標(biāo)的憑證后便可以研究受害者的手機(jī)號(hào)碼,給運(yùn)營(yíng)商打個(gè)電話,就能將該號(hào)碼分配到攻擊者控制之下的手機(jī)上。至此,所有的2FA驗(yàn)證碼可被攻擊者截獲,而受害者往往毫無(wú)所覺(jué)。等他們第二天醒來(lái)的時(shí)候才發(fā)現(xiàn)自己的手機(jī)已停止服務(wù),而在申請(qǐng)找回號(hào)碼的一周里,銀行賬戶的錢已經(jīng)被攻擊者取走了。

2. 移動(dòng)運(yùn)營(yíng)商端攔截

這是去年爆發(fā)的一種新型攻擊方式。攻擊者通過(guò)移動(dòng)運(yùn)營(yíng)商的客戶門戶來(lái)獲取2FA驗(yàn)證碼。如果某人太過(guò)懶惰,電子郵件和移動(dòng)賬戶都重復(fù)使用相同的密碼,攻擊者只需要登錄用戶的移動(dòng)賬戶,在存儲(chǔ)的短信當(dāng)中查找,便能獲取到2FA驗(yàn)證碼。然后就可以重置銀行口令,大搖大擺地清空用戶的賬戶了。

3. 惡意軟件截獲

至少自2014年起,便有定制的惡意軟件可以感染手機(jī)并截獲基于短信的2FA驗(yàn)證碼。有時(shí)候這種惡意軟件是銀行木馬的一部分。其他情況下,該惡意軟件僅僅是轉(zhuǎn)發(fā)2FA驗(yàn)證碼給攻擊者。安卓生態(tài)系統(tǒng)中該問(wèn)題尤其嚴(yán)重,但蘋果系統(tǒng)中幾乎沒(méi)有見到過(guò)。

4. 遺失手機(jī)重置密碼

現(xiàn)代社會(huì),丟手機(jī)換號(hào)碼就跟糖尿病一樣常見。所以,使用短信身份驗(yàn)證系統(tǒng)的所有服務(wù)都必須有可供用戶重置賬戶和更新手機(jī)號(hào)碼的恢復(fù)服務(wù)。如果攻擊者已經(jīng)入侵了電子郵件賬戶 (比如利用用戶重復(fù)使用密碼的漏洞),那他們就可以重置、更新或者繞過(guò)該2FA系統(tǒng)。遺失手機(jī)和密碼重置頁(yè)面是如今最常見的自動(dòng)化攻擊目標(biāo)。檢查一下忘記密碼頁(yè)面 (lost-password.html) 的訪問(wèn)日志,你會(huì)驚訝于這個(gè)頁(yè)面被訪問(wèn)的次數(shù)和訪問(wèn)時(shí)間點(diǎn)。

5. 社會(huì)工程

針對(duì)特定組織或個(gè)人下手的攻擊者會(huì)使用社會(huì)工程方法來(lái)繞過(guò)2FA。舉個(gè)例子,攻擊者給你打電話,聲稱自己是你銀行的客戶經(jīng)理,正在進(jìn)行賬戶欺詐檢查,將給你發(fā)一個(gè)身份驗(yàn)證碼,讓你給他念一遍。然后,在你等待的期間,攻擊者就用你念給他的驗(yàn)證碼登錄了你的賬戶。攻擊者一邊謝謝你的合作,一邊眼都不眨地搬走你賬戶中每一分錢。

6. 中間人網(wǎng)站代理——Modlishka

一組研究人員創(chuàng)建了Modlishka網(wǎng)絡(luò)釣魚代理框架,向人們展示誘騙用戶輸入短信2FA驗(yàn)證碼有多容易。演示視頻堪稱對(duì)安全社區(qū)的當(dāng)頭一棒。

理論上,非短信2FA的攻擊界面要小得多(1-4點(diǎn))。社會(huì)工程方法(第5點(diǎn))則一直都很有效,這個(gè)問(wèn)題是技術(shù)解決不了的。Modlishka框架(第6點(diǎn))顯示的最后一種攻擊方法最為令人擔(dān)憂。Modlishka能用于任意2FA系統(tǒng),包括不基于短信的那些,因?yàn)橐坏┰L問(wèn)了該網(wǎng)絡(luò)釣魚筐架,用戶會(huì)話就已經(jīng)被黑了。

但即便有上述多種繞過(guò)方法,雙因子身份驗(yàn)證和多因子身份驗(yàn)證依然是防御者工具箱中的必備。只不過(guò),基于短信的2FA系統(tǒng)明顯老態(tài)龍鐘了。

  • Modlishka:https://github.com/drk1wi/Modlishka
  • Modlishka視頻地址:https://vimeo.com/308709275

分享名稱:繞過(guò)短信雙因子身份驗(yàn)證的六種方法
文章起源:http://www.rwnh.cn/news2/100752.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供手機(jī)網(wǎng)站建設(shè)網(wǎng)站維護(hù)、網(wǎng)站導(dǎo)航網(wǎng)頁(yè)設(shè)計(jì)公司、網(wǎng)站排名小程序開發(fā)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

微信小程序開發(fā)
游戏| 顺昌县| 柳河县| 老河口市| 大冶市| 武川县| 衡阳市| 驻马店市| 云浮市| 固始县| 石台县| 祁东县| 高邑县| 正蓝旗| 南汇区| 双鸭山市| 衡水市| 西畴县| 乃东县| 浦县| 通城县| 池州市| 湄潭县| 古丈县| 福州市| 南投市| 前郭尔| 茂名市| 保亭| 视频| 阿巴嘎旗| 兴城市| 长治市| 招远市| 横山县| 买车| 米易县| 新绛县| 溧水县| 景东| 静安区|