信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

越來越多的網(wǎng)站和服務強制實施多因素身份驗證(MFA)，這使得網(wǎng)絡犯罪分子更難訪問其帳戶。

但隨著安全性的發(fā)展，網(wǎng)絡犯罪分子也在不斷發(fā)展，他們總是在尋找新的方法來進行欺騙。于是，一種稱之為中間人身份驗證的網(wǎng)絡釣魚手段正在出現(xiàn)。雖然這些以中間人(MitM)攻擊命名的技術已經(jīng)存在了一段時間，但如今它們已越來越受歡迎。

其工作原理如下

用戶被誘騙到偽裝成他們通常使用的網(wǎng)站（例如銀行、電子郵件或社交媒體帳戶）的釣魚網(wǎng)站。一旦用戶在虛假網(wǎng)站上輸入登錄信息，網(wǎng)絡犯罪分子就會在用戶不知情的情況下將這些信息重定向到實際網(wǎng)站。

然后提示用戶進行MFA步驟，他們通常通過輸入代碼或接受推送通知來完成此操作，然后將此信息傳遞給犯罪分子，允許他們登錄網(wǎng)站。

一旦犯罪分子進入賬戶，他們就可以開始更改賬戶的電子郵件地址、電話號碼和密碼等設置，這樣用戶就無法再登錄，或者他們可以簡單地清空銀行賬戶。

這可能有助于您理解為什么許多平臺在您嘗試更改這些重要設置之一時會再次要求您輸入PIN或其他身份驗證。受害者通過社交媒體或電子郵件中的鏈接被引誘到此類釣魚網(wǎng)站，在這些網(wǎng)站上很難識別真正的鏈接。

如何保護自己免受中間人身份驗證攻擊

·保持警惕

了解詐騙者的作案手法是避免上當?shù)牡谝徊?。不要假設網(wǎng)絡搜索結果即是合法的，如果某件事看起來可疑，那么它很可能就是不合法的。

·使用安全軟件

許多安全程序會阻止已知的釣魚網(wǎng)站，盡管域名通常存在時間較短且會快速輪換，此時，如果使用有相關安全解決方案則可以幫助保護用戶。

·使用密碼管理器

密碼管理器不會自動填充虛假網(wǎng)站的密碼，即使它看起來像是真實的。

·考慮使用密鑰

啟用多因素身份驗證仍然非常重要，它可以保護您免受多種類型的攻擊，因此請繼續(xù)使用它。

但是，中間人身份驗證攻擊僅適用于某些類型的MFA，而密鑰不會允許網(wǎng)絡犯罪分子以這種方式登錄用戶帳戶。目前，已有許多服務開始使用密鑰。