双因素身份验证失败了吗?拍摄2FA最新挑战 - Malwarebytes Labs |必威官方登录备用必威平台APP必威平台APP必威官方登录备用Malwarebytes Labs.

发布：2019年1月21日通过乔维Umawing
最近更新时间：2019年6月19日

最近，关于双因素身份验证(2FA)失败的新闻报道层出不穷。

2018年11月，我们的朋友在ESET发现了一个声称的Android电池用工具从第三方App Store称为“优化Android”。此应用程序旨在从用户的PayPal帐户中窃取资金，而不依赖被盗凭据。它通过修改设备的辅助功能设置并启用使用Android的覆盖辅助功能功能来运行。然后，这允许恶意可替代性服务模仿用户的点击，以访问合法的应用程序和金钱金额到犯罪本身的PayPal地址。

长话短说:这种方法有效地绕过了2足总．

然后在12月中旬，研究人员波斯语计算机应急响应小组(CERTFA)实验室发布了一份报告关于“迷人小猫的回归”，一个关于参与伊朗和其他人的个人的个人备份的网络钓鱼攻击，但更多地关注在美国和以色列的人民。州立行动者找到了一种愚弄目标的方法，以赠送他们的Gmail和雅虎！2步验证代码。

CERTFA报告发布几天后，国际特赦组织打破了这个消息广泛的，有针对性的网络钓鱼运动被设定为千万人权维护者（HRD），记者和北非（北非（MENA）国家的政治行动者。至少有一个广告系列背后的威胁演员也积极和故意采取措施绕过2FA的常见形式。

螳螂在等待

新年后不久，波兰安全研究员Piotr Duszyński公布了绕过2FA的最新方法。他称之为modlishka.——波兰语单词“螳螂”的英语发音，并将其描述为“灵活而有力的”反向代理这将把你的网络钓鱼活动带到下一级（你身边所需的最小努力）。“它是一个有助于渗透测试者进行合法测试的工具。

随着它的发布，Duszyński强调有效性和严肃性社会工程攻击．在错误的手中，可以滥用ModlishKA这样的工具来创建一个引人注目和复杂的网络钓鱼活动，这明显更容易使用，但更难以通过用户检测和避免。

来自模拟网络钓鱼活动的收集信息概述（由Piotrduszyński提供的礼貌）

Modlishka是如何工作的

Modlishka坐在合法网站之间，它是冒充的，并且用户看到的网络钓鱼网站。

对于这个工具来成功完成其工作 - 而且反过来，对于工作 - 网络钓鱼活动的运动必须首先使他们的目标相信他们在他们期望的网站上，以便在没有怀疑的情况下进入他们的凭据。用户在网络钓鱼页面内部的任何交互，包括输入凭据，通过ModliennKA在实时将其转发到合法的网站之前通过ModliennKA传递和录制。

当启用2FA时，此工具还提示用户出于令牌。但是，PhiShipr应该出现拦截2FA令牌 - 特别是如果它是一个基于时间的一次性密码(TOTP)- 从用户开始并在其到期之前手动将其手动输入到合法的网站上。

假设一切顺利，用户将被重定向到合法网站，并成功登录，结束钓鱼攻击。以下是莫德里什卡的行动视频。

由PiotrDuszyński提供

用户如何保护自己

为了停止扭伤的曲目，Duszyński建议使用2FA硬件令牌，如yubikey，RSA SecurID和Titan Security键，支持通用2ⁿ因子（U2F）标准．根据OKTA的研究和开发主管Matias Brutti的说法，把身份验证也会降低这些运动的效果。

因为我们在这里提到的所有事件都是网络钓鱼，所以仍然支付给知道要注意什么当确定一个网站、电子邮件、文本或其他通信是否为钓鱼时。在未验证其真实性之前，不要点击未知链接。一定要检查地址栏中的url——记住，绿色挂锁已经不够用了确定网站是否安全。

此外，用户可能会降低SMS 2FA的使用，并选择更强大的第二种身份验证，例如认证应用程序或生物识别学．定期查看账户访问日志，检查是否有其他人试图进入你的在线账户。避免使用个人电子邮件进行业务往来，特别是涉及敏感信息或文件交换的业务往来。如果可以的话，可以通过使用相当好的隐私(PGP)．最后,使用密码管理器它们不仅比人类有更好的记忆力，而且在自动填充字段之前，它们还通过检查地址栏上的url来让你远离钓鱼网站。

对于移动用户来说，避免从第三方商店下载应用程序。更好的是，避免寻找你认为会优化移动设备的应用程序实用程序。例如，如果你想延长电池寿命采取一些简单的步骤，比如不使用GPS时关闭GPS，或者将手机设置为节电模式。