雖然越來越多的公司正在使用 MFA 來提高安全性，但微軟警告說它并非萬無一失。“不幸的是，攻擊者也在尋找新的方法來規避這種安全措施，”365 Defender 研究團隊表示。

根據一份新報告，即使啟用了MFA，使用中間對手(AiTM) 網絡釣魚網站的大規模網絡釣魚活動 也會竊取密碼、劫持登錄會話并跳過身份驗證過程。

隨著越來越多的人在線訪問高價值賬戶，雙因素身份驗證 （2FA） 和多因素身份認證（MFA） 越來越受歡迎。在2019年12月的一份報告中，安全公司Duo Security發現，采用2FA的用戶在兩年內幾乎翻了一番，53%的受訪者使用2FA作為其部分賬戶（2017年為 28%）。根據這項研究，年輕人更加容易接受2FA和MFA，超過三分之二（34歲以下）年輕人在一些賬戶上使用2FA，而65歲或以上的人中，只有三分之一的人使用這種技術。

但是，隨著越來越多的用戶開始使用多重身份驗證（MFA）加強端點安全，我們也看到攻擊者也正在馬不停蹄地設計新的方法來規避MFA技術，其中一些嘗試已經取得巨大成功。

據微軟稱，自 2021 年 9 月以來，AiTM 網絡釣魚活動已針對 10,000 多家公司，并在新博客中詳細介紹了這一威脅。在一個示例中，攻擊者向不同公司的多個收件人發送了包含 HTML 文件附件的電子郵件，告知他們有語音消息。

據微軟 365 Defender 研究團隊稱，攻擊者隨后使用竊取的賬號密碼和會話 cookie 訪問受影響用戶的郵箱，并對其他目標執行商業電子郵件攻擊活動。

在最新的攻擊中，攻擊者在目標用戶和模擬網站之間部署了代理服務器。這允許攻擊者攔截用戶的密碼和會話 cookie，以證明他們與網站的持續和經過身份驗證的會話。“由于 AiTM 網絡釣魚竊取了會話 cookie，攻擊者代表用戶獲得了會話的身份驗證，無論后者使用何種登錄方法，”微軟解釋說。

此外，Microsoft 建議組織使用條件訪問策略來補充 MFA。這會看到使用其他身份驅動信號（例如用戶或組成員資格、IP 位置信息和設備狀態）評估的登錄請求。

專家觀點

獨立安全研究員 Sean Wright 表示，攻擊者正在利用網絡釣魚技術來獲取會話 cookie 和賬號密碼，這“很有趣”。“這些攻擊顯示了完善的安全控制以及 MFA 和加密通信（如 HTTPS）等功能的重要性。”

一切皆可破解。因此，MFA不是可以讓企業安全管理者高枕無憂的“萬靈藥”。企業還需要在正確部署MFA的基礎上，加強對最終用戶識別攻擊的安全意識培訓。僅僅擁有MFA并不意味著對攻擊免疫。

新網企業郵箱，護航您的郵箱安全。點擊下方，免費試用：http://m.a5252.cn/composite/zt/2018Y1012mail.html?utm_source=pc&utm_medium=sns