MFA并不是100%有效网络犯罪分子可经过这几种方式轻松破坏

使用多因素身份验证(MFA)是一个很好的安全防御手段，但与其余方式同样，它并不是万无一失，并且不可能100%有效。html

许多人认为多因素认证(MFA)是最终的网络防护手段，有了它，企业和我的“感受”更安全，并认为这是一种万无一失的方式。毕竟，攻击者须要登陆凭据和对辅助设备的访问权限才能破坏系统。然而，这种错误的安全感是危险的，由于伴随恶意软件和网络攻击手段不断提高，绕过这些保护措施已经变得相对容易。浏览器

就像咱们能够经过复杂的网络安全防御技术来增强系统同样，网络犯罪分子也可使用相同的技术来利用弱点。他们甚至可使用合法的基础设施绕过MFA并访问公司网络和我的数据从而威胁到咱们的软件安全及数据安全。如下是恶意软件经常使用并取得成功的攻击方式。安全

中间人攻击

一种广泛的攻击方法是中间人(MitM)或反向Web代理攻击。在这种状况下，恶意用户经过电子邮件或短信发送连接，将目标指向一个相似(几乎彻底同样)合法网站的钓鱼网站。实际上，即使是通过训练的眼睛也不必定能分辨出其中的真伪。markdown

例如，假设银行的登陆页面使用了双因素身份验证(2FA)。攻击者知道，即便有用户名和密码，他们也没法访问该网站。所以，他们在钓鱼页面和实际服务之间设置了反向网络代理(所以得名“中间人”)。网络

当用户在钓鱼网站上输入真实凭据时，它会与合法服务通讯，后者又将第二因素令牌或代码发送给用户。当用户在钓鱼网站上提交身份验证代码时，不知不觉中就向攻击者提供了访问账户所需的最后一条信息。工具

这种攻击的简单性在GitHub工具包中获得了说明，该工具包可自动执行中间人流程。发布此代码的研究人员是出于教育目的，但同时也使公众能够轻松得到恶意工具包。oop

恶意的OAuth的应用程序

这些攻击利用OAuth标准的广泛性进行访问受权。每一个云服务都容许用户访问网站或第三方受权应用程序，而且无需持续使用其用户名和密码登陆，经过OAuth令牌授予这些网站和应用程序账户访问权限。然而，因为授予权限的过程很是快速、简单和方便，人们很容易(而且已经)被诱骗受权恶意应用程序。测试

这些攻击集中在接收指向原始供应商站点的网络钓鱼连接(经过电子邮件、短信或其余方法)。在这种类型的攻击中，用户单击连接请求其用户名和密码。一旦完成，该页面会请求访问第三方应用程序的权限，在用户赞成后，恶意软件就能够彻底访问该账户。想象一下，若是用户是CTO或CIO，无心中授予了对企业整个Active Directory的访问权限，从而使业务彻底开放，后果不堪设想。网站

浏览器劫持

这能够说是最危险的攻击形式。随着云在咱们的职业和我的生活中逐渐标准化，几乎咱们所作的一切事情都是经过浏览器完成。网上银行、购物、共享公司文件、视频会议等。为了简化这一点，全部现代浏览器都依赖于与浏览器具备相同访问权限和权限的扩展或插件。不管浏览器“看到”什么，插件均可以访问。spa

举个例子，用户收到一个钓鱼连接，要求他们下载一个特定的扩展。攻击者使用社会工程技术来得到人们的信任，并安装假装成合法的、一般甚至是众所周知的应用程序的插件。安装后，该插件能够轻松地从浏览器中抓取全部数据，包括MFA代码、银行详细信息和其余敏感文本。

披着羊皮的狼

一些企业将谷歌、Dropbox或SharePoint等合法云服务列入白名单，所以很容易在这些服务上设置钓鱼页面。事实上，虽然仍有必要寻找可疑的域名，但这已经变得特别具备挑战性。人们一般认为，若是一个域名看起来是合法的，那么这个网站就能够被信任。此外，网络钓鱼攻击再也不仅仅局限于电子邮件，短信和电话诈骗也变得愈来愈广泛，经过协做渠道甚至社交媒体进行的攻击也愈来愈广泛，可见数据安全的威胁无处不在。

稳妥的安全防御方式

没有任何一种安全防护设备能实现一劳永逸，今天，最好的防护形式是经过对系统内部与外部进行全面安全防护。人们很容易出现人为错误，因此安全是一个长期话题。随着黑客逐渐针对系统漏洞进行攻击，安全防护也应从被动防守转到主动防护上来，企业须要从不一样层面增强安全建设。建议在应用软件开发初期，经过悟空静态代码检测和开源代码安全测试等手段，减小安全漏洞/下降运行时缺陷从而加强软件防护漏洞攻击能力，同时部署安全可靠的安全设备及软件，防守恶意软件攻击。一样重要的是，没有任何一项安全防御手段是100%有效的，时刻警戒安全事故发生，作好网络攻击应急准备能够下降受攻击的风险，减小经济损失。

参读连接：

www.woocoom.com/b021.html?i…