圖片來源: 

pixabay

一名研究人員近日分享利用Linux螢幕分享軟體noVNC繞過多因素驗證(MFA),以行使釣魚網站攻擊的方法。

為防止釣魚網站攻擊,像Google、微軟及資安廠商倡導用戶啟用雙因素(2FA)或多因素驗證(MFA)保護帳號,因為即使用戶在釣魚網站輸入帳密,但仍需要有寄給用戶的一次性驗證碼才能完全接手帳號。不過又有其他工具出現來繞過2FA/MFA,像是Evilginx2,它是一種類似web proxy的工具,可誘使用戶點擊URL以流經這個proxy,它能利用中間人攻擊(MITM)手法取得用戶帳密或憑證等資訊。現在一些網站拉高防禦,實作了防止Evilginx2及其他MITM工具的防護。不過代號為mr.d0x的研究人員設計的方法可以突破2FA/MFA防護。

他的方法是使用noVNC和現代瀏覽器設定。noVNC是一種VNC(virtual network computing,遠端桌面連線或螢幕分享軟體)用戶端軟體JavaScript函式庫,也是寫在函式庫上的App。noVNC可在任何現代瀏覽器,包括桌機或iOS/Android手機瀏覽器上執行。使用noVNC讓瀏覽器可作為VNC用戶端來存取遠端機器。noVNC另一好處是可以在GitHub下載,執行起來也很方便,可於本地網路或在開放網際網路執行。

在其設計中,只要架一臺具備noVNC的伺服器,再安裝瀏覽器(例如Firefox)以kiosk模式執行以顯示郵件登入提示畫面(例如Gmail)。透過noVNC,這個提示畫面會顯示在用戶瀏覽器上。

最後,只要將這臺伺服器的連結傳送給用戶即可。當用戶點入連結,會在不知情下存取VNC連線。研究人員指出,這種手法可進行的攻擊有「無數多」,像是在用戶瀏覽器注入JavaScript、設立連到瀏覽器的HTTP proxy以紀錄所有資訊(如帳密)、等用戶完成驗證後關閉VNC連線,用戶斷線後從瀏覽器擷取連線資料,或是在背景執行鍵盤側錄程式。

研究人員說明,這個方法已經可用於執行精準釣魚攻擊,他甚至也示範了大規模網釣攻擊的作法。他並指出,除了noVNC,甚至Apache Guacamole、TeamViewer及Chrome Remote Desktop都可以套用上述手法。

不過媒體指出防範釣魚攻擊的方法放諸四海皆準:不要隨意點選陌生人傳來或連向奇怪網域的連結,尤其應小心要你登入帳號的URL。


熱門新聞

Advertisement