众所周知,防御钓鱼攻击最有效的方法是在电子邮件帐户上部署多重身份验证(MFA)。即使攻击者可以通过钓鱼网站获取登录账号和密码,如果部署了MFA,登录账号时仍然需要进行鉴权。因此,MFA被认为是防止网络钓鱼的有效方法,并被企业广泛部署。不过,安全研究人员发现一种新型钓鱼攻击可以绕过MFA,企业用户应密切注意。具体的攻击方式是攻击者利用VNC屏幕共享系统让目标用户直接在攻击者控制的服务器上登录自己的账号,从而绕过MFA。VNC是绕过MFA的关键。安全研究员mr.d0x在为某公司进行渗透测试时,试图对员工发起钓鱼攻击,以获取登录系统的账号密码。但由于该公司部署了MFA,常规的网络钓鱼攻击都被阻止了。mr.d0x表示,这是谷歌在2019年新增的安全功能,可以防止常用的“反向代理或中间人(MiTM)攻击”。一旦检测到此类攻击,MFA将发出相应的警报,并暂时禁用该电子邮件帐户。对此,mr.d0x想出了一种新型的钓鱼攻击技术。他使用noVNC远程访问软件和以kiosk模式运行的浏览器来显示在攻击者服务器上运行但在受害者浏览器中显示的信息。邮箱登录提示,成功绕过MFA。VNC是一种远程访问软件,允许远程用户连接并控制登录用户的桌面。大多数人通过以类似于Windows远程桌面的方式运行的专用VNC客户端连接到VNC服务器。然而,noVNC程序允许用户通过单击链接直接从浏览器内连接到VNC服务器,这为攻击者提供了绕过MFA的可能性。mr.d0x表示,当用户点击攻击者发送的链接时,他们不会意识到他们已经访问了VNC服务器,并且由于Firefox之前被设置为kiosk模式,所以用户看到的只是一个网页。通过这种方式,攻击者可以发送有针对性的鱼叉式钓鱼邮件,其中包含自动启动目标浏览器并登录攻击者远程VNC服务器的链接。这些链接都是定制的,因此它们通常看起来不像指向可疑VNC登录URL的链接,例如:Example[.]com/index.html?id=VNCPASSWORDExample[.]com/auth/login?name=password由于攻击者的VNC服务器以kiosk模式运行浏览器,即以全屏模式运行浏览器,当目标用户点击链接时,他们只会看到目标电子邮件服务的登录页面并正常登录。这意味着用户的所有登录尝试都将直接在远程服务器上进行。一旦用户登录账户,攻击者就可以在用户不知情的情况下使用各种工具窃取账户密码和安全令牌。因此,该攻击技术可以绕过MFA,用户将在攻击者的服务器上输入验证密码,授权设备进行下次登录。结论如果这种攻击只针对少数人使用,那么攻击者可以简单地通过VNC会话登录他们的电子邮件账户,并且设备可以被授权在未来顺利登录该账户。由于VNC允许多人监控同一会话,因此攻击者可以在帐户登录后断开与目标用户会话的连接,并在稍后连接到同一会话以获取对该帐户及其所有电子邮件的访问权限。虽然这种攻击方式目前还没有出现,但mr.d0x表示了担忧。他认为,未来很可能会出现类似的攻击方式。因此,企业和用户应提前采取相应的应对措施,提高警惕,避免落入邮件钓鱼攻击的陷阱。mr.d0x表示,无论钓鱼邮件的攻击方式如何变化,最有效的防护建议始终如一:不要点击陌生邮件中的链接,不要下载陌生邮件中的文件,对所有陌生邮件保持警惕电子邮件方式。参考来源:https://www.bleepingcomputer.com/news/security/devious-phishing-method-bypasses-mfa-using-remote-access-software/
