網站應用程式MFA被突破，還有Cookie theft的不同威脅層面

對於駭客突破MFA保護機制的威脅，若我們從攻擊者角度來設想，其實可以發現，會有不同的攻擊方式與構面。

這裡先要提醒的是，在突破MFA的手段上，普遍說法可能都稱之為MFA繞過，因為從結果上都是繞過，但我們認為，從過程來看，在攻擊層面上有其差異。

舉例來說，首先，就是大家普遍比較關注的攻擊手法，透過網路釣魚或社交工程，藉由用戶本身來幫助駭客「通過MFA驗證」，這包括了誘騙或竊取OTP驗證碼，以及發動MFA登入通知的轟炸攻擊。

因此，現階段產業界所提倡的FIDO/WebAuthn驗證，是目前抵抗網路釣魚的最佳方法，可避免這類型的問題。

另一種需要留意的是，透過「繞過MFA驗證」的方式，這屬於不同的攻擊層面。例如，以網站應用程式的面向而言，攻擊者透過Cookie Theft（pass-the-cookie attack）的Session劫持技術，直接取得已身分驗證的證明資料，進而冒充使用者連線，就是一種方式。

上述這種方式主要利用Web瀏覽器技術的運作邏輯，因此完全繞過了前段身分認證的流程，等於MFA也被繞過。特別的是，Cookie Theft的攻擊也分成不同的手段，其防護方式亦有差別。

過去Google曾表示，Cookie Theft是一項存在多年的攻擊手法，他們並在2021年對YouTube創作者示警，指出攻擊者會利用社交工程手法，誘使用戶安裝可竊取瀏覽器Cookie的惡意程式。

微軟在2022年6月也曾公布一起威脅事件，駭客是利用Adversary-in-the-middle（AiTM）的釣魚網站手法，讓用戶前往真正目標網站前，會先經過一個代理伺服器的釣魚網站，藉此取得登入期間Cookie。

要如何防範不同的Cookie Theft的手法？臺灣微軟資安專家技術部技術專家林堅樂表示，面對這類型的攻擊手法，現階段可從端點安全、郵件安全等面向去因應。

例如，透過防毒軟體或端點偵測與回應（EDR），可以偵測惡意程式、使用者或背景程序的異常行為，像是存取Cookie檔案、或攔截MFA資訊的隱形代理行為，甚至再搭配應用程式簽章、機敏資料夾納管等資安管控措施進行強化。同時，也需留意所使用的瀏覽器是否提供跨裝置同步資料的能力，確保身份權杖無外洩之虞。

而對於防範AiTM的網釣手法，林堅樂也表示，像是在Microsoft 365郵件或微軟Teams等聯繫管道上，針對這類惡意網址就會有轉址或沙箱的技術去檢測。而從上述微軟針對AiTM網釣事件的揭露中，其實也有提到防範作法，例如，使用FIDO2實體安全密鑰、Windows Hello for Business，以及基於憑證的認證，可防止AiTM網釣，或是從其他方式著手，像是配置條件式存取管理政策，以及上述監控從郵件與網站管道的釣魚來防止。

另外，我們也詢問FIDO2實體安全密鑰與相關解決方案的業者歐生全，從他們的見解來看，FIDO2/Webauthn提供的是前段的認證（authentication）保護機制，而涉及Cookie方面，這其實是超出Webauthn的威脅模型，因此現階段最佳作法是零信任網路安全策略來防範，不只是強調抗網釣MFA，還包含最小權限、設備驗證、資料存取層面，藉由各方面幫助做到持續驗證。而AiTM也是屬於釣魚的一種，在瀏覽器（無安裝惡意擴充程式）與使用環境的https跟網域伺服器都沒有被竄改下，FIDO2/Webauthn都能防禦這種釣魚攻擊，主要原因是瀏覽器都會檢查origins/網域名稱。

在2021年10月Google示警，有攻擊者鎖定YouTube創作者，是以社交工程手法，假廣告合作名義發送電子郵件給創作者，謊稱的藉口譬如防毒軟體、VPN、影音編輯軟體或線上遊戲的開箱與測試，實際上則是在提供的檔案上暗藏惡意程式，例如對方在郵件附檔提供一個夾帶包含惡意下載連結的PDF檔，引導創作者下載所謂的「試用軟體」，但實際則是要執行可發動Cookie theft攻擊的惡意軟體。

在2022年7月，微軟揭露AiTM網釣的駭客攻擊手法，攻擊者利用Cookie theft方式來冒用身分並發動BEC詐騙。關於這起攻擊的手法，微軟有詳細說明，指出攻擊者透過駭客除了發送網釣郵件與建立釣魚網站，特別的是，更將釣魚網站以代理伺服器方式設在用戶連線至目標網站之間，用以竊取使用者的憑證與期間Cookie。