儘管設備感知(device-aware)的雙因素身份驗證(2FA)不是萬能靈藥,但它確實要比傳統的基於SMS的2FA更為安全。原因如下:
在攻擊者和防禦者間不斷升級的軍備競賽中,首當其衝的最新防禦方式就是雙因素身份驗證。攻擊者在使用社會工程技術擊敗雙因素身份驗證併成功控制受害者賬户方面取得了明顯進展。
但是,許多攻擊都可以通過對現有方法進行較細微的修改來重組部分身份驗證過程,從未組織這種情況。這是從基於賬户的雙因素身份驗證(通常使用SMS一次性密碼或OTP,發送到註冊的電話號碼中)到設備感知的雙因素身份驗證的轉變。使用設備感知雙因素身份驗證,銀行、電子郵件服務或其他服務提供商就會僅接受來自先前與該帳户關聯的已識別設備的操作嘗試。
攻擊者如何通過社會工程學擊敗2FA
基於SMS的雙因素身份驗證已被服務提供商廣泛採用於各種領域,包括金融機構、電子郵件服務、社交網絡以及在線市場等等。根據市場研究機構Javelin Strategy & Research於2019年發佈的一份調查數據顯示,在使用任何形式雙因素身份驗證的消費者網站中,約有57%使用的是SMS一次性密碼(OTP)。
使用基於SMS的雙因素身份驗證的網站,通過SMS將代碼發送到註冊的手機號碼中。然後,用户再將該代碼鍵入或粘貼到網站中。在此過程中,攻擊者可以通過SIM劫持技術來劫持手機號碼,也可以使用社會工程手段來誘騙受害者將代碼主動提供給攻擊者,從而獲得該代碼信息。
在進行SIM劫持時,詐騙者可以藉助高超的社會工程手段和不懈的毅力,來説服無線運營商的員工將受害者的電話號碼轉移到攻擊者所擁有的新SIM卡上。然後,攻擊者就可以接收發送給受害者的所有SMS OTP,從而致使與那些SMS密碼關聯的所有受害者帳户都具有被接管的風險。
儘管到目前為止,尚未找到有效的技術解決方案。但可喜的是,人們對於SIM劫持和多因素身份驗證(MFA)以及其他威脅的安全意識正在逐步提高。美國聯邦調查局在去年9月份曾警告稱,網絡犯罪分子正在利用社會工程和技術攻擊來規避多因素身份驗證機制。在去年8月份一起廣為流傳的事件中,攻擊者通過SIM劫持技術接管了Twitter首席執行官傑克·多爾西(Jack Dorsey)的Twitter帳户,然後使用該帳户發佈了許多納粹宣傳。11月份,Twitter開始允許用户選擇使用除基於SMS的2FA以外的2FA方法。但是其提供的選項(身份驗證器應用程序和安全密鑰)同樣具有自己的漏洞,包括技術或社會工程風險。可以説,Twitter現在實際上是允許用户選擇他們所面臨的漏洞,而不是徹底解決問題。
根據卡巴斯基實驗室提供的調查結果顯示,類似“SIM卡互換”這樣的攻擊現在很普遍,甚至已經發展成了一個日益突出且極具威脅的存在。事實證明,通過成功欺騙運營商將用户的電話號碼轉移到新的SIM卡,或通過賄賂其中一個代理商來破壞雙因素身份驗證是一種非常簡單的方法。由於運營商是此類攻擊的薄弱環節,他們有責任尋找通過其呼叫中心和客户服務團隊運行的可疑行為,以便及時找出被網絡犯罪分子賄賂的欺詐行為或代表。至少,消費者應該聯繫他們的電話運營商並要求將額外的安全性應用到他們的帳户,例如,如果沒有通過非短信渠道提供的驗證碼,則不允許更改帳户。
需要注意的是,網絡犯罪分子利用“SIM卡互換騙局”不僅能夠竊取憑證並捕獲通過短信發送的OTP(一次性密碼),而且還會對受害者造成財務影響,所以,必須重視起來。
使用設備感知2FA阻止賬户接管
帳户提供商可以通過切換身份驗證方法來實現雙因素身份驗證的更安全版本。使用傳統的基於SMS的雙因素身份驗證要求用户證明“他/她有權訪問與該賬户關聯的電話號碼”。而使用設備感知雙因素身份驗證,用户必須同時證明“她/他有權訪問該電話號碼”以及“他/她有權訪問與該賬户關聯的實際電話(或其他設備)”。
使用傳統的基於SMS的雙因素身份驗證,網站將發送包含密碼的SMS。而使用設備感知雙因素身份驗證,該網站會發送一條帶有一個或多個可點擊鏈接的SMS,例如,在問題“您是否要求重置密碼?”下有兩個可點擊的答案,分別代表“是”和“否”。當用户單擊“是”鏈接時,網站將自動檢查設備配置文件。
除非攻擊者成功偷走了受害者的手機並且已將其解鎖,否則攻擊者的設備將無法被識別為“先前已與該賬户關聯”,而且網站也會拒絕攻擊者的訪問請求。(如果用户點擊“否”,那麼用户和站點都將意識到攻擊行為,並可以採取措施來恢復安全性。)
識別設備的方法
設備感知雙因素身份驗證機制利用設備識別技術,且已經廣泛部署到全球各地,但是使用它們的方式卻有所不同。這些設備識別技術可以結合使用,包括網站將各種類型的Cookie放置在設備上;網站通常檢查的“只讀”瀏覽器特徵,例如“用户代理”和相關的本地數據,以便針對特定設備類型發送正確的顯示指令;以及其他特徵,例如網絡名稱,運營商名稱和地理位置。
幾乎所有網站都已經使用cookie和其他設備標識符進行個性化或欺詐檢測。實際上,如果用户嘗試從異常位置或無法識別的設備登錄,則通常會激活2FA。用於識別設備的選項包括標準HTML cookie和變體,例如flash cookie或cache cookie。
當用户訪問網站時,該網站還可以檢查用户網絡瀏覽器的特徵,例如安裝的瀏覽器類型和版本、觸摸屏支持、安裝的系統字體、安裝的語言、屏幕大小、色深、時區,以及瀏覽器插件的詳細信息。儘管這些數字指紋並非對每種設備獨有,但用户硬件和軟件屬性的排列如此之多,以致攻擊者的設備極不可能共享一個通用指紋。
特例:新設備
新的安全措施通常會給正常活動帶來一些摩擦。對於設備感知雙因素身份驗證而言,在大多數情況下其增加的摩擦是最小的。用於建立帳户(或首次設置2FA)的設備將自動鏈接到該帳户。如果用户從新設備訪問該站點,則該站點可以將設備感知的2FA消息發送到舊設備以獲得授權。如果身份驗證成功,並且用户指出該新設備確實屬於她/他,則該新設備將自動註冊,然後可用於支持將來的設備感知2FA驗證。用於將新設備添加到用户個人資料的其他選項包括:通過掃描原始設備上顯示的QR碼來授權新設備;或者,如果該設備和原始設備共享瀏覽器設置(例如同步的Google Chrome瀏覽器帳户),則允許從新設備進行訪問。
但是,如果用户更換手機並且沒有註冊其他設備會怎樣?幾乎所有機構都提供了升級方法,以重新獲得對帳户的訪問權限,即使用户丟失了用於身份驗證的手機號碼或電子郵件帳户的訪問權限也是如此。如果用户更換或遺失了手機,則類似的升級過程可與支持設備的2FA配合使用。例如,用户可能會被要求用户回答基於知識的身份驗證問題,或者準確地報告已經與該用户相關聯的支票帳户所支付的一筆非常小的款項。
儘管設備感知2FA比傳統的基於SMS的2FA更安全,但它當然不是萬靈藥。在安全專業人員與網絡犯罪分子進行的無休止的“追趕式”貓鼠遊戲中,幾乎每種安全方法最終都會被堅定而足智多謀的攻擊者擊敗。而我們所能做的就是繼續完善和智能化我們的方法。