研究人員以螢幕分享軟體繞過MFA防護發動網釣攻擊

一名研究人員近日分享利用Linux螢幕分享軟體noVNC繞過多因素驗證（MFA），以行使釣魚網站攻擊的方法。

為防止釣魚網站攻擊，像Google、微軟及資安廠商倡導用戶啟用雙因素（2FA）或多因素驗證（MFA）保護帳號，因為即使用戶在釣魚網站輸入帳密，但仍需要有寄給用戶的一次性驗證碼才能完全接手帳號。不過又有其他工具出現來繞過2FA/MFA，像是Evilginx2，它是一種類似web proxy的工具，可誘使用戶點擊URL以流經這個proxy，它能利用中間人攻擊（MITM）手法取得用戶帳密或憑證等資訊。現在一些網站拉高防禦，實作了防止Evilginx2及其他MITM工具的防護。不過代號為mr.d0x的研究人員設計的方法可以突破2FA/MFA防護。

他的方法是使用noVNC和現代瀏覽器設定。noVNC是一種VNC（virtual network computing，遠端桌面連線或螢幕分享軟體）用戶端軟體JavaScript函式庫，也是寫在函式庫上的App。noVNC可在任何現代瀏覽器，包括桌機或iOS/Android手機瀏覽器上執行。使用noVNC讓瀏覽器可作為VNC用戶端來存取遠端機器。noVNC另一好處是可以在GitHub下載，執行起來也很方便，可於本地網路或在開放網際網路執行。

在其設計中，只要架一臺具備noVNC的伺服器，再安裝瀏覽器（例如Firefox）以kiosk模式執行以顯示郵件登入提示畫面（例如Gmail）。透過noVNC，這個提示畫面會顯示在用戶瀏覽器上。

最後，只要將這臺伺服器的連結傳送給用戶即可。當用戶點入連結，會在不知情下存取VNC連線。研究人員指出，這種手法可進行的攻擊有「無數多」，像是在用戶瀏覽器注入JavaScript、設立連到瀏覽器的HTTP proxy以紀錄所有資訊（如帳密）、等用戶完成驗證後關閉VNC連線，用戶斷線後從瀏覽器擷取連線資料，或是在背景執行鍵盤側錄程式。

研究人員說明，這個方法已經可用於執行精準釣魚攻擊，他甚至也示範了大規模網釣攻擊的作法。他並指出，除了noVNC，甚至Apache Guacamole、TeamViewer及Chrome Remote Desktop都可以套用上述手法。

不過媒體指出防範釣魚攻擊的方法放諸四海皆準：不要隨意點選陌生人傳來或連向奇怪網域的連結，尤其應小心要你登入帳號的URL。