Reddit MFA 绕过攻击的警示

关键要点

最近，热门社交论坛于 2 月 5 日宣布遭遇了一起多因素身份验证
(MFA) 绕过攻击，成为越来越多受此影响的企业之一。过去一年中，成功的 MFA 绕过攻击事件频繁发生，尤其是备受瞩目的
Coinbased、Twilio、Uber 和
案例。

Reddit 的首席技术官 Christopher Slowe 表示，在这起钓鱼攻击中，攻击者利用逼真的提示引导受害者进入一个模仿 Reddit内网网关行为的网站，从而成功获取到了员工的凭证。攻击者因此能够访问内部代码、文档、仪表板和业务系统。

在其
中，Reddit将此次事件描述为“复杂”和“高度针对性”的攻击。虽然这确实是一起针对性攻击，但这些 MFA绕过技术绝非如公众所想象的那样复杂。实际上，这些工具和技术早已存在多年，使得像 Reddit 这样的企业遭受攻击变得异常简单，甚至对一些初级的攻击者而言。

简单易操作的攻击
开源工具包，如 evilginx2 和
modlishka，使得实施中间人攻击（AITM）变得异常简单。通过利用各种认证技术，攻击者可以利用这些工具包建立反向代理，从而抢夺凭证并以授权用户身份登录。

理论上，MFA应当通过要求多种不同因素来提供保护，但实际上，这并不如想象中那样简单。这些额外的认证因素往往和密码一样容易受到钓鱼攻击。因此，美国联邦政府已经将针对这些脆弱认证方法的攻击认定为持续威胁，并已要求联邦机构在
2023 年底之前采取无密码及抗钓鱼的认证技术。

Reddit 的数据泄露表明，安全团队需要对有效和无效 MFA进行讨论。为了消除泄露风险，或者至少大幅提高攻击者的成本，建立安全的身份验证系统至关重要。密码和脆弱的 MFA最多只能作为初级网络犯罪者的阻碍，而最糟糕的结果则会让对手轻松进入内部系统。

为了抵御现代威胁，组织需要采用强大的防护措施，才可以有效阻止特定攻击路径。行业亟需关注现代的解决方案。

对抗钓鱼的多因素身份验证不再是选择，而是必要。

我们赞赏 Reddit 快速披露并提高透明度，提供事件时间表、所采取的应对措施以及可能的后果。然而，攻击者仍然能够利用中间人策略攻击 Reddit和其他网站的用户。尽管 2FA 比单纯使用密码安全性更高，但如今的改进幅度已经微乎其微。网站所有者需尽快评估并实施更强的认证措施，以确保用户数据的安全。

社交工程和钓鱼诈骗早已绕过 2FA，但考虑到成功攻击的迅速增长及其简单性，目前已经不再值得投资第一代 MFA。即使是广泛使用的基于移动推送的 MFA也容易被攻击者以“推送轰炸”手段绕过，即发送多次认证请求，导致用户被疲劳所困扰，从而误审批准。

现代身份认证解决方案正采用 FIDO 标准，实施强大加密的通