升级 | 网络钓鱼可利用远程访问软件绕过MFA？

一种狡猾的新型网络钓鱼技术允许攻击者通过使用 VNC 屏幕共享系统让受害者直接在攻击者控制的服务器上秘密登录其帐户，从而绕过多因素身份验证 (MFA)。

即使威胁行为者可以说服用户在网络钓鱼站点上输入他们的凭据，但如果在有 MFA 保护帐户的情况下，想要完全破坏帐户仍然需要向用户发送一次性密码。

为了访问受 MFA 保护的目标帐户，网络钓鱼工具包已更新为使用反向代理或其他方法从不知情的受害者那里收集 MFA 代码。

但是，一些公司已经掌握了这种方法，并开始引入安全措施，当检测到反向代理时，可以阻止登录或停用帐户。

在为客户进行渗透测试时，安全研究员 mr.d0x 试图对客户的员工发起网络钓鱼攻击，以获取公司帐户凭据。

因为这些帐户都配置了 MFA，所以mr.d0x 使用 Evilginx2 攻击框架设置了网络钓鱼攻击，该框架充当反向代理来窃取凭据和 MFA 代码。

mr.d0x 告诉 BleepingComputer，这是谷歌 在 2019 年添加的一项新的安全功能，专门用于防止此类攻击。

谷歌浏览器登录阻止 MiTM 攻击

来源：mr.d0x

研究人员还告诉 BleepingComputer，像LinkedIn 这类网站会在成功登录后检测到中间人 (MiTM) 攻击，并停用帐户。

为了克服这个障碍，mr.d0x 提出了一种狡猾的新网络钓鱼技术，它使用 noVNC 远程访问软件和以 kiosk 模式运行的浏览器来显示在攻击者服务器上运行但在受害者浏览器中显示的电子邮件登录提示。

VNC 是一个远程访问软件，允许远程用户连接并控制已登录用户的桌面。大多数人通过专用 VNC 客户端连接到 VNC 服务器，这些客户端以类似于 Windows 远程桌面的方式打开远程桌面。

然而，一个名为 noVNC 的程序允许用户只通过点击一个链接直接从浏览器内连接到 VNC 服务器，这正是研究人员的新网络钓鱼技术发挥作用的时候了。

通过使用此配置，攻击者可以发送有针对性的鱼叉式网络钓鱼电子邮件，其中包含自动启动目标浏览器并登录到攻击者远程 VNC 服务器的链接。

这些链接是高级可定制的，允许攻击者创建看起来不像可疑 VNC 登录 URL 的链接，如下所示：

由于攻击者的 VNC 服务器配置为以 kiosk 模式运行浏览器，即以全屏模式运行浏览器，因此当受害者单击链接时，他们只会看到目标电子邮件服务的登录屏幕，然后正常登录。

VNC钓鱼技术演示

来源：mr.d0x

然而，由于登录提示实际上是在攻击者的 VNC 服务器显示的，所有登录尝试都将直接发生在远程服务器上。mr.d0x 告诉 BleepingComputer，一旦用户登录该帐户，攻击者就可以使用各种工具窃取凭据和安全令牌。 

更危险的是，这种技术将绕过 MFA，因为用户将直接在攻击者的服务器上输入一次性密码，授权该设备将来的登录尝试。

如果攻击仅限于针对少数人使用，只需通过攻击者的 VNC 会话登录他们的电子邮件帐户，就可以授权设备在未来连接到该帐户。

由于 VNC 允许多人监控同一个会话，因此攻击者可以在帐户登录后断开受害者的会话，并在稍后连接到同一会话以访问该帐户及其所有电子邮件。

虽然这种攻击尚未被使用于现实世界，但研究人员告诉 BleepingComputer，他相信未来攻击者会使用它。

至于如何保护自己免受这些类型的攻击，所有网络钓鱼的建议都是一样的：不要点击来自未知发件人的 URL，检查嵌入的链接中是否有不寻常的域，并将所有电子邮件视为可疑邮件，尤其是当它提示您登录帐户时。

内容来源：BleepingComputer

作者：Lawrence Abrams