网络安全没有灵丹妙药。供应商希望创建防黑客的防御措施，但攻击者总能找到偷偷摸摸的方法。

多因素身份验证 (MFA)，也称为 2FA，就是一个很好的例子。在某些形式中，它在防止攻击方面表现出色，但并非万无一失。只需问问去年由于 Coinbase 的 MFA 系统存在缺陷而导致账户遭到黑客攻击而丢失加密货币的 6,000 名客户。

这就是为什么公司不能依靠单一形式的防御来保护自己。相反，他们需要分层措施。

网络安全公司 Darktrace 使用人工智能来寻找整个组织的攻击。它警告公司将这些防御层层加厚，让他们有足够的机会发现和减轻攻击。如果一个人不停止攻击，另一个人会。

从网络钓鱼到 MFA 绕过
与 Coinbase 事件一样，许多 MFA 绕过攻击始于网络钓鱼攻击。攻击者需要基本的身份验证因素 - 用户的电子邮件地址和密码 - 甚至试图劫持帐户。

通过虚假电子邮件和网站对这些细节进行网络钓鱼是一种日益增长的攻击媒介。根据 Verizon 的数据泄露调查报告 (DBIR) ，它是去年 36% 的泄露事件的组成部分，高于前一年的 25%。

组织使用 MFA 来保护用户免受这些攻击。有了 MFA，窃取密码是不够的。它需要另一个因素——你拥有的东西（如智能手机或硬件令牌）或你的东西（生物识别技术）来确认你的身份，然后才能让你进入。理论上，攻击者必须在劫持你的帐户之前获得该资产。

在实践中，攻击者已经找到了许多绕过 MFA 的方法。其中之一是在网络钓鱼过程中收集 MFA 详细信息。如果一个网络钓鱼网站足以欺骗受害者输入他们的详细信息，那么他们可能也会批准它发送的任何 MFA 消息。

这是中间操纵者 (MITM) 攻击。恶意站点冒充合法站点并引诱受害者提交其凭据，然后它使用这些凭据访问真实站点。合法站点会发送一个 MFA 请求作为回报，网络钓鱼站点会将其传递给受害者。当受害者使用他们的第二个因素批准它时，攻击者然后使用 Evilgenix 之类的工具窃取用户的会话 cookie，然后将 2FA 代码传递到合法站点。

Evilgenix 只是用于自动化网络钓鱼和 MFA 绕过攻击的一种工具。Mariana 是一个透明的反向代理，可捕获凭据和会话 cookie。然后，它将这些信息传递给 Necroses，后者使用它们模拟受害者，使用基于容器的 Chrome 浏览器，使被盗会话保持活动状态。

对 SMS MFA 的攻击
虽然 MITM 攻击将自己置于用户面前，但另一种方法是完全取代受害者。这就是 SIM 卡交换的工作原理。它依赖于用于向智能手机发送密钥的带外 SMS 通道中的缺陷。

SIM 就像您用来访问蜂窝网络的数字密钥。SIM 交换器会将密钥从受害者的 SIM 切换到他们自己的。此时，他们的手机代替了受害者在网络上的手机、电话号码等等。

SIM交换犯罪分子通过向运营商拨打社会工程电话或通过为电信公司工作的想要快速获利的内部人员来进行这种改变。

越来越多的有组织的团体会派青少年突袭运营商的商店，抢走经理的平板电脑，然后将其交给同伙，在运营商冻结经理的访问权限之前，他们将使用它来切换尽可能多的 SIM 卡。他们将在实时论坛中接受这些 SIM 卡交换的订单。暗网日记对该过程进行了出色的细分。

短信的攻击面很难管理。过去，研究人员还找到了利用 SS7 蜂窝路由协议中的缺陷来选择基于 SMS 的 MFA 的方法。然而，即使NIST在五年前就警告不要使用 SMS 进行身份验证，人们仍在继续这样做。

FBI 在 2019 年 9 月通过私营行业通知警告了这个问题。它警告说，它已经在野外看到了 MFA 规避。它报告了几起 SIM 卡交换案例，其中包括 2016 年的一起美国银行客户受到打击的案例。

肇事者窃取了受害者的电话号码，然后用它们打电话给银行并要求电汇。银行将该号码识别为客户的号码，跳过了安全问题并通过短信发送了一次性密码。攻击者还更改了客户的 PIN 和密码，并将他们的信用卡号附加到移动支付应用程序中。

脆弱的基础设施
该私人通知还强调了 MFA 的另一个常见问题：网站漏洞。它描述了 2019 年的一起事件，攻击者使用被盗的客户凭据登录美国银行。当网站要求提供 PIN 码时，犯罪者更改了网站 URL 参数，以将他们的计算机标识为帐户中可识别的计算机。该网站在没有强迫他们输入 PIN 的情况下挥手让他们通过。

其他漏洞存在于用于对用户进行身份验证的协议和工具中。2020 年，研究人员发现黑客使用 WS-Trust（一种用于管理安全令牌的 OASIS 标准协议）滥用 Microsoft 365 帐户。攻击者可以使用此协议通过操纵请求标头来欺骗他们的 IP 地址来完全绕过 MFA。他们还可以更改用户代理标头，以使身份提供者相信他们正在使用 Microsoft 的现代身份验证，这是一种使用 MFA 和数字令牌进行身份验证的协议。Microsoft 于 2020 年 2 月取消了对 WS-Trust 的支持。

有时，其他软件缺陷会使 MFA 解决方案的组件易受攻击。我们在 12 月与企业单点登录和 ID 管理公司 Okta 看到了这一点，该公司警告说 Log4j 漏洞影响了其 RADIUS 服务器代理和本地 MFA 代理。

依赖管理员错误和恶意用户
有时，根本不需要代码漏洞；简单的错误配置就可以解决问题。这就是 2021 年发生的事情，当时国家资助的俄罗斯黑客获得了访问受 MFA 保护的非政府组织的权限。

他们通过暴力破解受害者的密码进入，结果证明这是可以预测的，使其容易受到字典攻击。该账号本应受到非政府组织MFA系统的保护，但该用户已很久没有访问该账号。

非政府组织取消了未使用的帐户的注册，即使它仍然处于活动状态。MFA 系统的默认配置允许攻击者为自己的设备注册 MFA 服务，从而使他们能够访问 NGO 的网络。整个事件意义重大，足以引发另一次政府警告。

其他技术包括简单地向具有受信任访问权限的人付款，以帮助攻击者使用他们的 MFA 帐户登录。根据微软的分析，这是 Lapsu$ 小组用来访问受 MFA 保护的系统的一种技术。

Lapsu$ 还使用被盗密码向个别目标发送垃圾邮件，并不断请求 MFA 批准。一些 MFA 服务只是简单地 ping 个人的设备，要求他们批准登录。经常这样做，分心的用户可能会批准请求，而不是怀疑攻击，从而使烦人的消息消失。

更深层次的防御
当有人突破像 MFA 这样的可信防线时会发生什么？希望其他保护层也能发挥作用。Darktrace 表示，早期检测很重要，这样安全团队才能快速做出反应。

选择或绕过 MFA 的攻击者尽最大努力在雷达下飞行，看起来很正常，这样管理员就不会发现任何危险信号。

该公司建议，这就是基于规则的系统崩溃的地方。如果您正在寻找特定的、已知的入侵迹象，那么成功使用 MFA 并保持低调的攻击者将很难被发现。

Darktrace 并没有寻找具体的妥协指标，而是假设冒名顶替者最终会做一些不寻常的事情。他们必须这样做，因为他们的目标是使用该帐户进行非法活动。

该公司采用不同的方法来发现与正常行为的偏差。它不是寻找已知的恶意迹象，而是采用广阔的视野，调查数千个日常数据点。

它的技术使用机器学习来创建这种遥测的统计模型。然后，它将新活动与该模型进行比较，以发现模式偏差。

从这个意义上说，人工智能不仅仅是一层额外的保护，而是一个复杂的传感器组合，可以监视跨多个域的可疑活动。

这有助于将Darktrace 的一位客户从去年绕过其 MFA 的网络钓鱼攻击中解救出来。攻击者以金融客户的 Microsoft 365 帐户为目标，使用钓鱼凭据，但不知何故更改了受害者的注册电话号码。这使攻击者能够接收 Microsoft 的 MFA 文本身份验证消息。

在获得对该帐户的访问权限后，攻击者更改了其电子邮件规则并共享了多个收件箱。他们还从用户的电子邮件历史记录中访问了多封邮件，并删除了几封邮件以掩盖他们的踪迹。

Darktrace 提供了一款名为 Cyber​​ AI Analyst 的产品，可以发现异常行为并自动分析威胁。该产品还扫描 Microsoft 365 等 SaaS 帐户，构建事件的自然语言摘要并将其发送给人类分析师。这使客户能够采取行动。

随着攻击者变得越来越狡猾，防御者将需要更多的保护层来发现和消除入侵。MFA 会有所帮助，但它不是 100% 防黑客的 -无论如何，只有五分之一的企业使用它，我们拥有的集成保护越多，我们就会越好