MFA並不是100%有效網絡犯罪分子可經過這幾種方式輕鬆破壞

使用多因素身份驗證(MFA)是一個很好的安全防禦手段，但與其餘方式同樣，它並不是萬無一失，並且不可能100%有效。html

許多人認爲多因素認證(MFA)是最終的網絡防護手段，有了它，企業和我的「感受」更安全，並認爲這是一種萬無一失的方式。畢竟，攻擊者須要登陸憑據和對輔助設備的訪問權限才能破壞系統。然而，這種錯誤的安全感是危險的，由於伴隨惡意軟件和網絡攻擊手段不斷提高，繞過這些保護措施已經變得相對容易。瀏覽器

就像咱們能夠經過複雜的網絡安全防禦技術來增強系統同樣，網絡犯罪分子也可使用相同的技術來利用弱點。他們甚至可使用合法的基礎設施繞過MFA並訪問公司網絡和我的數據從而威脅到咱們的軟件安全及數據安全。如下是惡意軟件經常使用並取得成功的攻擊方式。安全

中間人攻擊

一種廣泛的攻擊方法是中間人(MitM)或反向Web代理攻擊。在這種狀況下，惡意用戶經過電子郵件或短信發送連接，將目標指向一個相似(幾乎徹底同樣)合法網站的釣魚網站。實際上，即使是通過訓練的眼睛也不必定能分辨出其中的真僞。markdown

例如，假設銀行的登陸頁面使用了雙因素身份驗證(2FA)。攻擊者知道，即便有用戶名和密碼，他們也沒法訪問該網站。所以，他們在釣魚頁面和實際服務之間設置了反向網絡代理(所以得名「中間人」)。網絡

當用戶在釣魚網站上輸入真實憑據時，它會與合法服務通訊，後者又將第二因素令牌或代碼發送給用戶。當用戶在釣魚網站上提交身份驗證代碼時，不知不覺中就向攻擊者提供了訪問賬戶所需的最後一條信息。工具

這種攻擊的簡單性在GitHub工具包中獲得了說明，該工具包可自動執行中間人流程。發佈此代碼的研究人員是出於教育目的，但同時也使公衆能夠輕鬆得到惡意工具包。oop

惡意的OAuth的應用程序

這些攻擊利用OAuth標準的廣泛性進行訪問受權。每一個雲服務都容許用戶訪問網站或第三方受權應用程序，而且無需持續使用其用戶名和密碼登陸，經過OAuth令牌授予這些網站和應用程序賬戶訪問權限。然而，因爲授予權限的過程很是快速、簡單和方便，人們很容易(而且已經)被誘騙受權惡意應用程序。測試

這些攻擊集中在接收指向原始供應商站點的網絡釣魚連接(經過電子郵件、短信或其餘方法)。在這種類型的攻擊中，用戶單擊連接請求其用戶名和密碼。一旦完成，該頁面會請求訪問第三方應用程序的權限，在用戶贊成後，惡意軟件就能夠徹底訪問該賬戶。想象一下，若是用戶是CTO或CIO，無心中授予了對企業整個Active Directory的訪問權限，從而使業務徹底開放，後果不堪設想。網站

瀏覽器劫持

這能夠說是最危險的攻擊形式。隨着雲在咱們的職業和我的生活中逐漸標準化，幾乎咱們所作的一切事情都是經過瀏覽器完成。網上銀行、購物、共享公司文件、視頻會議等。爲了簡化這一點，全部現代瀏覽器都依賴於與瀏覽器具備相同訪問權限和權限的擴展或插件。不管瀏覽器「看到」什麼，插件均可以訪問。spa

舉個例子，用戶收到一個釣魚連接，要求他們下載一個特定的擴展。攻擊者使用社會工程技術來得到人們的信任，並安裝假裝成合法的、一般甚至是衆所周知的應用程序的插件。安裝後，該插件能夠輕鬆地從瀏覽器中抓取全部數據，包括MFA代碼、銀行詳細信息和其餘敏感文本。

披着羊皮的狼

一些企業將谷歌、Dropbox或SharePoint等合法雲服務列入白名單，所以很容易在這些服務上設置釣魚頁面。事實上，雖然仍有必要尋找可疑的域名，但這已經變得特別具備挑戰性。人們一般認爲，若是一個域名看起來是合法的，那麼這個網站就能夠被信任。此外，網絡釣魚攻擊再也不僅僅侷限於電子郵件，短信和電話詐騙也變得愈來愈廣泛，經過協做渠道甚至社交媒體進行的攻擊也愈來愈廣泛，可見數據安全的威脅無處不在。

穩妥的安全防禦方式

沒有任何一種安全防護設備能實現一勞永逸，今天，最好的防護形式是經過對系統內部與外部進行全面安全防護。人們很容易出現人爲錯誤，因此安全是一個長期話題。隨着黑客逐漸針對系統漏洞進行攻擊，安全防護也應從被動防守轉到主動防護上來，企業須要從不一樣層面增強安全建設。建議在應用軟件開發初期，經過悟空靜態代碼檢測和開源代碼安全測試等手段，減小安全漏洞/下降運行時缺陷從而加強軟件防護漏洞攻擊能力，同時部署安全可靠的安全設備及軟件，防守惡意軟件攻擊。一樣重要的是，沒有任何一項安全防禦手段是100%有效的，時刻警戒安全事故發生，作好網絡攻擊應急準備能夠下降受攻擊的風險，減小經濟損失。

參讀連接：

www.woocoom.com/b021.html?i…