多因素身份验证现在很时髦。所有的网站都要求你打开它,而且有很好的理由。当数据泄露暴露了你的密码是“password”这一事实时,犯罪分子仍然无法进入你的帐户,因为他们没有其他身份验证因素。通常情况下,这是一个代码,要么发短信到你的手机,要么通过身份验证应用程序.
这两种方法看似相似,但前者存在很大的安全风险。在一场精彩的小组演讲中黑帽, Thomas Olofsson和Mikael Byström, FYEO的首席技术官和OSINT负责人,分别演示了一种他们称为smishmash的技术,以证明使用短信进行第二个因素是非常危险的。
FYEO是什么?OSINT是什么?短信诈骗是什么?
根据其网站,FYEO是“网络安全Web 3.0,这意味着它促进了去中心化的互联网,以及去中心化的金融和安全。FYEO也被一些人用来表示“只为你的眼睛”詹姆斯•邦德!
至于OSINT,这是缩写开源情报这个词在黑帽大会上非常明显。这意味着收集和分析公开的信息,以开发有用的情报。令人惊讶的是,一个敬业的研究人员可以根据没有任何隐藏的信息得出结论。
你们应该听说过网络钓鱼这是一种聪明的骗子欺骗你登录到银行网站或其他安全网站的副本,从而窃取你的登录凭证的技术。钓鱼链接通常通过电子邮件,但有时短信是载体。在这种情况下,我们使用可爱的术语短信诈骗.
为什么短信不安全?
“我们称之为混搭,因为它是技术的混搭,”Olofsson解释道。“短信双因素认证(2FA)已经被打破了。这不是新闻;它从一开始就坏了。它从来没有打算做这个用途。自从我们入侵以来我们就一直在伪造短信。只是现在我们看到的是武器化。”
他指出,短信诈骗比电子邮件诈骗有更高的隐性信任,因此成功率更高。Olofsson回顾了几起涉及smishing和2FA的有新闻价值的违规事件,其中包括一起重大事件从开放海窃取nft.他说:“我们看到抢劫攻击的数量大幅增加。”“你们中有多少人在上周收到过主动发来的短信?你的电话号码被泄露的情况越来越多。”
Byström说:“我们所做的(是结合)对清网和暗网的搜索,创建了一个巨大的数据库。”
“在做这项研究时,我们收到了很多垃圾邮件,”Olofsson补充道。“甚至‘你想买黑帽的参会人员名单吗?’我们把价格降到了100美元以下。”
“过去泄露的凭证是用户名和密码,”Olofsson说。“现在,如果你有用户名、破解密码和电话号码,你就有很好的机会通过2FA。我们有一个包含5亿个电话号码的数据库,所以我们可以将每五个电子邮件地址中的一个与电话号码联系起来。”
2FA漏洞是如何工作的?
“欺骗2FA最常见的方法是启动密码重置,然后欺骗设备,”Olofsson解释道。“我们研究了六种真实的攻击,其中三种涉及账户恢复。一般来说,账户恢复流程非常宽松。”
短信诞生于上世纪80年代,第一条短信是1992年发出的。“它从来就不是为了安全。没有校验和,没有发送方验证,什么都没有。发短信的方式也有很多种。”“用你的手机手动操作。通过旧手机的调制解调器发送。或者使用API服务。”
这种欺骗是二人在黑帽展示的。之后,Olofsson指出,你可以购买技术来执行这些攻击。“花160美元,你就可以从阿里巴巴购买定制硬件,”他一边说,一边展示着该网站的一个页面。“即使是那些可以同时处理64次攻击的机器。他们可以恶搞IMEI,欺骗短信发送者。这是一个众所周知的秘密——他们实际上是在推销它们。”
该团队研究了一些技术方法和服务,组织可以使用它们来抵御这种攻击,但很明显,最好的解决方案就是避免依赖短信。他们还向黑帽参与者提供了整个数据库,其中密码经过哈希处理且不可读,因此任何人都可以检查他们的电话号码是否暴露。完全认可的安全研究人员可以通过谈判获得完整的、未经处理的版本。
教训是显而易见的。对于任何提供选择的网站,不要选择基于短信的身份验证。如果是一个没有其他选择的重要账户,比如你的银行,联系相关机构,让他们做得更好。
编者注:本文发表后,Oloffson和Byström联系了我们,提供了一个链接,供公众查看自己的电话号码。只是点击此链接(在新窗口打开)输入你的电话号码,不加标点符号,包括开头的国家代码(美国号码+1)。