近日,微软威胁情报团队发现,一种名为“设备码钓鱼”的复杂网络钓鱼活动。正被用于窃取用户访问令牌。研究人员称,已在美国、乌克兰、英国、德国、加拿大和澳大利亚等多个国家发现了这类攻击的数字证据,主要针对政府机构、科技公司、金融机构、国防承包商、医疗机构和媒体组织等多个领域内拥有重要数据和战略影响力的机构。
设备码认证是一种在不具有人机交互界面的设备登录账户的方法,该方法需要用户在另一台设备上输入验证码(通常由数字或字母组成)以完成登录。在设备码钓鱼攻击中,攻击者会生成一个合法的设备码请求,并诱骗目标在合法的登录页面上输入设备码。一旦得手,攻击者便能获取访问令牌和刷新令牌,从而无需密码(口令)即可访问目标的账户和数据。
典型的攻击手法是创建模仿即时通讯应用(例如最近名声大噪的Signal)的诱饵。攻击者冒充知名人士,在发送看似会议邀请的钓鱼邮件之前,先与目标建立联系。这些邀请会提示用户使用设备码进行认证,从而让攻击者成功捕获有效的访问令牌。一旦获取了访问令牌,攻击者便可利用它们在被攻破的网络内横向移动,造成更大的破坏。
(诱饵样例,图源:微软)
设备码钓鱼攻击利用了OAuth 2.0协议。OAuth2.0是一个关于授权的开放标准,在世界范围内广泛应用。允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和口令提供给第三方应用。当“另外的服务提供者”是不具有人机交互界面的设备,该协议允许用户在另外的设备上进行通过人机交互进行许可来完成原设备的访问授权。攻击者向合法的OAuth服务发起访问设备的授权请求,OAuth服务生成验证所需的挑战码和一次性URI推送给攻击者,攻击者息利用诱饵将这些信息转发给受害者。当受害者访问URI并输入真实的设备码时,攻击者就得到了访问设备的授权。
(图源:微软)
在设备码钓鱼攻击的整个过程中,受害者始终与真实的授权服务进行交互(注:这其实是中间人攻击的典型特点),这使得传统的钓鱼检测方法失效(继续注:防钓鱼攻击的手段防不住中间人攻击,这也正常)。微软安全专家指出,这种针对性攻击手段标志着攻击通过社会工程学突破高级安全系统的能力显著提升:攻击者可以在不触发传统安全警报的情况下,未经授权访问高价值目标(接着注:略显夸大其词)。
微软安全专家建议,为防范设备码钓鱼攻击,应采取以下措施:
实施基于设备合规性和地理位置限制认证的条件访问策略;
定期审核OAuth令牌请求;
部署防钓鱼MFA解决方案(例如FIDO2安全密钥而不是短信验证码;
开展全面的安全意识培训,关注新型网络安全威胁。
飞天诚信是微软智能安全协会(Microsoft Intelligent Security Association,简称MISA)成员。MISA由 Microsoft 顶级安全合作伙伴——独立软件供应商 (ISV) 和托管安全服务提供商 (MSSP) 组成,他们将自己的解决方案与 Microsoft 安全产品相集成。MISA 成员是来自网络安全行业的专家,其共同目标是提高客户安全性。飞天诚信配合微软混合Azure AD推出了指纹生物识别无密码安全认证方案,为企业、政府、医疗、教育及个人用户提供多种FIDO2指纹生物识别无密码安全密钥。BioPass及AllinPass系列FIDO2安全密钥,使用户能够随身携带个人身份认证信息并且无需使用用户名和密码即可安全登录微软混合Azure AD及其他微软服务。用户可以通过USB-A或USB-C接口,以及NFC及BLE接口将FIDO2安全密钥连接到电脑或手机,并使用已注册的指纹快速、安全完成账号登录或单点登录。
——THE END——
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...