隨著人們逐漸意識(shí)到許多多因素認(rèn)證（MFA）方法存在 " 易受釣魚攻擊 " 的問(wèn)題（即不具備防釣魚能力），基于 FIDO2 標(biāo)準(zhǔn)的認(rèn)證方式（又稱 " 通行密鑰 "）正得到越來(lái)越多的推廣，例如 YubiKey、Okta FastPass 和 Windows Hello 等。

最常用的多因素認(rèn)證（MFA）驗(yàn)證方式（如短信驗(yàn)證碼、推送通知和基于應(yīng)用的一次性密碼）經(jīng)常被繞過(guò)，而現(xiàn)代反向代理 " 中間人 " 釣魚工具包是最常見的手段（也是如今釣魚攻擊的標(biāo)準(zhǔn)選擇）。

這類工具的工作原理是攔截受害者輸入密碼并完成多因素認(rèn)證檢查后創(chuàng)建的已驗(yàn)證會(huì)話。具體來(lái)說(shuō)，釣魚網(wǎng)站會(huì)在用戶與真實(shí)網(wǎng)站之間傳遞信息 —— 這也是 " 中間人 " 名稱的由來(lái)。

相比之下，基于通行密鑰的登錄方式不會(huì)遭受釣魚攻擊。由于基于通行密鑰的登錄與域名綁定，即便通過(guò)中間人工具包進(jìn)行代理，在釣魚網(wǎng)站（phishing.com）上嘗試使用微軟網(wǎng)站（microsoft.com）的通行密鑰也無(wú)法生成通過(guò)認(rèn)證檢查的正確數(shù)值。但攻擊者并未輕易放棄。

隨著通行密鑰的普及，我們發(fā)現(xiàn)他們開始使用多種技術(shù)來(lái)降級(jí)認(rèn)證流程或通過(guò)其他方式規(guī)避認(rèn)證過(guò)程，使其重新面臨釣魚攻擊的風(fēng)險(xiǎn)。以下是迄今為止攻擊者用于繞過(guò)通行密鑰的所有技術(shù)手段。

降級(jí)攻擊

降級(jí)攻擊是攻擊者繞過(guò)防釣魚多因素認(rèn)證（MFA）的常用手段。目前已在多款惡意中間人（AitM）工具包中發(fā)現(xiàn)多因素認(rèn)證降級(jí)功能，甚至連 Evilginx 這類大眾化工具包也能實(shí)現(xiàn)該操作。

在實(shí)施中間人釣魚攻擊時(shí)，攻擊者無(wú)需精準(zhǔn)轉(zhuǎn)發(fā) 100% 的信息，而是可以對(duì)部分內(nèi)容進(jìn)行篡改。例如，正規(guī)應(yīng)用可能會(huì)詢問(wèn)用戶：" 您需要進(jìn)行多因素認(rèn)證 —— 請(qǐng)問(wèn)您選擇使用密鑰，還是備用驗(yàn)證碼？" 但釣魚網(wǎng)站可能會(huì)篡改該頁(yè)面，僅顯示 " 您需要進(jìn)行多因素認(rèn)證 —— 請(qǐng)使用備用驗(yàn)證碼 "，從而剝奪用戶選擇更安全密鑰的權(quán)利。這就是所謂的降級(jí)攻擊。

這種攻擊手段也適用于默認(rèn)采用單點(diǎn)登錄（SSO）的賬戶。在這種情況下，釣魚工具包會(huì)選擇用戶名和密碼作為備用登錄方式，以便繼續(xù)實(shí)施釣魚攻擊。

因此，即使存在防網(wǎng)絡(luò)釣魚的登錄方法，但由于存在安全性較低的備份方法，帳戶仍然容易受到網(wǎng)絡(luò)釣魚攻擊。

設(shè)備代碼釣魚

為繞過(guò)防釣魚認(rèn)證機(jī)制，攻擊者還會(huì)利用設(shè)備代碼釣魚攻擊——這種攻擊借助了不支持基于密鑰登錄的設(shè)備所采用的替代認(rèn)證流程，例如那些沒有網(wǎng)頁(yè)瀏覽器或輸入功能有限的設(shè)備。

這種替代登錄流程的運(yùn)作方式是：向用戶提供一個(gè)唯一代碼，并指示用戶在另一臺(tái)設(shè)備的瀏覽器中訪問(wèn)某個(gè)網(wǎng)頁(yè)，輸入該代碼以完成設(shè)備授權(quán)。

攻擊者可利用這一點(diǎn)對(duì)目標(biāo)實(shí)施釣魚攻擊：誘騙目標(biāo)訪問(wèn)其認(rèn)證提供商的網(wǎng)站，并輸入攻擊者提供的代碼，進(jìn)而獲取目標(biāo)賬戶的訪問(wèn)權(quán)限。此類攻擊的優(yōu)勢(shì)在于，它會(huì)將目標(biāo)引導(dǎo)至合法 URL，除輸入設(shè)備代碼和登錄外，不會(huì)提示用戶同意任何明確的權(quán)限請(qǐng)求。此外，在某些情況下，經(jīng)過(guò)驗(yàn)證的應(yīng)用也可能被仿冒。

近期已有多起攻擊活動(dòng)采用了這種技術(shù)，包括俄羅斯支持的勢(shì)力對(duì) M365 賬戶的多次攻擊。

愿者上鉤式網(wǎng)絡(luò)釣魚

愿者上鉤式網(wǎng)絡(luò)釣魚（Consent phishing）是最早被納入 SaaS 攻擊矩陣的技術(shù)之一，雖已存在一段時(shí)間，但近期惡意活動(dòng)呈上升趨勢(shì)。

OAuth 允許用戶向第三方應(yīng)用授予訪問(wèn)其數(shù)據(jù)的權(quán)限。攻擊者可通過(guò)誘騙用戶授權(quán)惡意 OAuth 應(yīng)用，濫用這一功能。在愿者上鉤式釣魚攻擊中，攻擊者會(huì)向目標(biāo)發(fā)送釣魚鏈接，該鏈接會(huì)請(qǐng)求獲取訪問(wèn)敏感數(shù)據(jù)的權(quán)限或執(zhí)行危險(xiǎn)操作的權(quán)限。

若目標(biāo)同意授予這些權(quán)限，攻擊者就能獲得對(duì)目標(biāo)賬戶的相應(yīng)訪問(wèn)權(quán)限。這種訪問(wèn)權(quán)限可繞過(guò)多因素認(rèn)證（MFA），且即便目標(biāo)更改密碼，該權(quán)限也依然有效。

愿者上鉤式釣魚最常與針對(duì)微軟 Azure 或谷歌 Workspace 租戶的攻擊相關(guān)聯(lián)。不過(guò)，如今越來(lái)越多的 SaaS 應(yīng)用會(huì)自行部署基于 OAuth 認(rèn)證的 API 和應(yīng)用商店，而這些也可能成為同樣的攻擊目標(biāo)——近期針對(duì) GitHub 用戶的攻擊案例就體現(xiàn)了這一點(diǎn)。

GitHub 惡意 OAuth 應(yīng)用程序

一旦獲得授權(quán)，攻擊者就可以廣泛訪問(wèn)該帳戶。在影響 GitHub 的例子中，攻擊者將能夠修改存儲(chǔ)庫(kù)以對(duì)用戶進(jìn)行進(jìn)一步

的攻擊（例如通過(guò)惡意軟件感染他們），毒害與存儲(chǔ)庫(kù)連接的存儲(chǔ)庫(kù)和服務(wù)，并泄露帳戶有權(quán)訪問(wèn)的任何敏感數(shù)據(jù)。

驗(yàn)證網(wǎng)絡(luò)釣魚

郵件驗(yàn)證有時(shí)會(huì)被用作一種安全控制手段，例如在注冊(cè)新賬戶時(shí)。其典型實(shí)現(xiàn)方式是向目標(biāo)用戶發(fā)送郵件，內(nèi)含可供點(diǎn)擊的驗(yàn)證鏈接，或需要用戶輸入的驗(yàn)證碼。

驗(yàn)證釣魚指的是攻擊者通過(guò)釣魚或其他類型的社會(huì)工程學(xué)手段，誘騙用戶點(diǎn)擊驗(yàn)證鏈接或?qū)Ⅱ?yàn)證碼提供給他們，以此繞過(guò)這種安全控制。

這種技術(shù)被用于繞過(guò)多因素認(rèn)證（MFA）的一個(gè)例子是跨身份提供商（IdP）冒充。具體來(lái)說(shuō)，攻擊者會(huì)用受害者的企業(yè)郵箱域名注冊(cè)一個(gè)新的身份提供商賬戶。在很多情況下，這使得攻擊者能夠通過(guò)這個(gè)新的身份提供商進(jìn)行單點(diǎn)登錄（SSO），且無(wú)需經(jīng)過(guò)任何額外驗(yàn)證 —— 事實(shí)上，有五分之三的應(yīng)用被發(fā)現(xiàn)存在這種允許此類行為的漏洞。

考慮到有大量應(yīng)用可作為單點(diǎn)登錄的身份提供商，潛在的攻擊目標(biāo)其實(shí)相當(dāng)多（具體取決于應(yīng)用本身及其支持的登錄方式）。

受管理的 IdP 可以由組織（擁有和操作 IdP 及其上的身份）集中管理，而未受管理的 " 社會(huì) "IdP 由供應(yīng)商控制，身份由用戶擁有和管理。

應(yīng)用專用密碼釣魚

應(yīng)用專用密碼釣魚是一種社會(huì)工程學(xué)攻擊手段，攻擊者通過(guò)誘騙用戶為自己的賬戶生成 " 應(yīng)用專用密碼 "，并設(shè)法獲取該密碼。這類傳統(tǒng)密碼是部分主流 SaaS 服務(wù)提供商（如谷歌、蘋果）推出的功能，旨在讓不支持現(xiàn)代認(rèn)證方式（如 OAuth 2.0）的老舊應(yīng)用能夠訪問(wèn)賬戶數(shù)據(jù)。

攻擊流程通常是這樣的：攻擊者偽裝成可信實(shí)體（例如技術(shù)支持人員、服務(wù)提供商），以某個(gè)借口引導(dǎo)用戶進(jìn)入自己的賬戶安全設(shè)置頁(yè)面，接著一步步誘導(dǎo)用戶創(chuàng)建新的應(yīng)用專用密碼，并要求用戶將該密碼粘貼到攻擊者控制的表單或聊天窗口中。

由于應(yīng)用專用密碼的設(shè)計(jì)初衷是供不支持多因素認(rèn)證（MFA）的環(huán)境使用，因此一旦落入攻擊者手中，他們就能通過(guò) API 以程序化方式持續(xù)訪問(wèn)用戶的賬戶數(shù)據(jù)（如電子郵件、聯(lián)系人、文件），且這種訪問(wèn)往往不會(huì)像陌生設(shè)備的傳統(tǒng)交互式登錄那樣觸發(fā)同等級(jí)別的安全警報(bào)。

這使得此類訪問(wèn)比會(huì)話令牌更隱蔽、更持久，因?yàn)閼?yīng)用專用密碼在用戶手動(dòng)撤銷前通常始終有效。近期曝光的一個(gè)案例就屬于這種攻擊：一名研究俄羅斯信息操作的專家成為目標(biāo)，遭遇了一場(chǎng)精心策劃且針對(duì)性極強(qiáng)的社會(huì)工程學(xué)攻擊。攻擊者通過(guò)應(yīng)用專用密碼登錄郵件客戶端，成功獲取了受害者郵箱的持久訪問(wèn)權(quán)限。

具體過(guò)程是，攻擊者偽裝成美國(guó)國(guó)務(wù)院發(fā)送誘騙信息，指導(dǎo)受害者創(chuàng)建應(yīng)用專用密碼并分享給他們，進(jìn)而獲得了其谷歌郵箱的訪問(wèn)權(quán)限。

一個(gè)高度可信的 ASP 網(wǎng)絡(luò)釣魚誘餌，用于有針對(duì)性的攻擊

補(bǔ)充：針對(duì)不使用密鑰的本地賬戶

不過(guò)，繞過(guò)密鑰可能最簡(jiǎn)便的方法，是直接攻擊那些本身不支持密鑰的應(yīng)用。密鑰通常與單點(diǎn)登錄（SSO）配合使用：你先通過(guò)受密鑰保護(hù)的安全方式登錄主身份提供商（IdP），再通過(guò)單點(diǎn)登錄進(jìn)入關(guān)聯(lián)的應(yīng)用。但許多應(yīng)用并不支持直接用密鑰登錄。

因此，Slack、Mailchimp、Postman、GitHub 等常用商業(yè)應(yīng)用正日益成為直接攻擊目標(biāo)——這就繞開了通常配備更完善認(rèn)證控制的身份提供商（如微軟、谷歌、Okta 等）。

就像備用多因素認(rèn)證方式常與密鑰同時(shí)注冊(cè)一樣，本地 " 幽靈登錄 " 方式也常與單點(diǎn)登錄并存，這意味著賬戶存在多個(gè)可能的登錄入口。

很多情況下，這些應(yīng)用根本沒有部署多因素認(rèn)證，因此同樣容易遭受憑證盜用攻擊——去年的 Snowflake 攻擊和今年的 Jira 攻擊就是例證。這給企業(yè)帶來(lái)了龐大且脆弱的身份攻擊面，亟待管理。

一個(gè)擁有 1000 個(gè)用戶的組織擁有超過(guò) 15000 個(gè)帳戶，這些帳戶具有各種配置和相關(guān)漏洞

結(jié)論

大多數(shù)情況下，攻擊者無(wú)需采取特殊手段即可繞過(guò)通行密鑰。只要目標(biāo)賬戶注冊(cè)了備用的非通行密鑰多因素認(rèn)證方式，他們只需使用平時(shí)慣用的釣魚工具和技術(shù)，就很可能得手。

真正安全的賬戶只有兩類：一類是僅啟用通行密鑰、未設(shè)置任何備用認(rèn)證方式的賬戶；另一類是通過(guò)條件訪問(wèn)策略禁止非通行密鑰認(rèn)證的賬戶。

但細(xì)節(jié)中仍潛藏風(fēng)險(xiǎn)（比如最近有案例顯示，微軟提供的條件訪問(wèn)模板會(huì)將 " 高風(fēng)險(xiǎn) " 登錄誤判為正常情況，并允許其繼續(xù)進(jìn)行）。

此外，考慮到安全團(tuán)隊(duì)對(duì)不同應(yīng)用的可見性和控制權(quán)限存在差異，且許多應(yīng)用根本未納入集中管理或不為安全團(tuán)隊(duì)所知，要審計(jì)應(yīng)用和身份體系的混亂狀況絕非易事。