双因素认证的新敌人？Tycoon 2FA引担忧

2024-04-03 19:02:31 来源：飞天诚信官微

　　近日，一个名为Tycoon 2FA的网络钓鱼工具包引起了网络安全社区的关注。据了解，该工具包于去年10月首次被Sekoia公司的安全研究人员发现，目前已在上万次网络钓鱼攻击活动中被观察到。根据Sekoia威胁检测研究（TDR）团队最新发布的威胁分析报告显示，该工具包使用了中间人代理技术（Adversary-in-the-Middle，简称AiTM），已被大量用于针对Microsoft 365和Gmail账户的攻击活动，能够轻松绕过这些服务当前所使用的双因素身份认证(2FA)措施。

　　当Tycoon 2FA 工具包被用来执行恶意攻击活动时，通常会通过多个阶段运行。首先，受害者会通过电子邮件附件或QR码被引导到一个具有Cloudflare Turnstile挑战的欺诈页面，该挑战旨在过滤不必要的流量；当引导完成后，用户就会进入一个虚假的Microsoft身份认证页面；一旦用户在此页面成功执行了MFA认证，攻击者就能够捕获认证通过后的会话cookie，从而能够重放用户会话。

　　AiTM攻击指的是网络犯罪分子拦截受害者和合法软件之间的通信。例如，攻击者可以创建一个看起来和操作起来很像在线银行的真正单点登录（SSO）的登录页面，使受害者不仅自愿输入他们的用户名和口令，而且还愿意输入他们的一次性验证码。或者，他们可以在向钓鱼网站输入凭据后同时收到推送通知，假设请求来自他们自己的设备，他们就会按下“允许”键。实际上，威胁行为者只是在幕后工作，利用自动化将通过钓鱼网站获得的被盗凭据同时输入到真实的登录页面。

　　FIDO2是FIDO联盟推出的新一代身份认证框架，基于密码技术实现了“无口令”的多因素身份认证机制。FIDO2与W3C组织的WebAuthn标准实现了互通，目前已被Google Chrome、Mozilla Firefox，Microsoft Edge、Apple Safari等主流浏览器全面支持。飞天诚信（300386）于2014年加入FIDO组织，是FIDO的董事会成员之一。飞天诚信已经推出了一系列FIDO硬件安全密钥产品(FIDO Security Key)，用户可以通过USB-A、USB-C接口、NFC或BLE接口将FIDO产品连接到电脑或手机，快速、安全地完成账号登录或单点登录。目前，飞天诚信FIDO系列产品的核心模块获得了美国国家标准与技术研究所（NIST）颁发的FIPS-140-2二级认证，且物理安全级别达到3级。飞天诚信FIDO系列产品现已支持Google、AWS等众多在线服务。

　　需要注意的是，Tycoon 2FA目前仍然在迭代升级。Sekoia研究人员表示，已经在今年2月发现了一个新版本的Tycoon 2FA，进一步增强了网络钓鱼功能。

关注同花顺财经（ths518），获取更多机会

0人