眾所周知，網(wǎng)絡釣魚攻擊最有效的防護措施是，在電子郵件賬戶上部署多因素身份驗證 (MFA)。

即便攻擊者可以利用釣魚網(wǎng)站獲取登錄賬戶和密碼，如果有部署MFA，那么在登錄賬戶時仍需要進行驗證。正因為如此，MFA被視為防范網(wǎng)絡釣魚的有效方法，被企業(yè)廣泛部署。

但是，安全研究人員發(fā)現(xiàn)，一種新型的網(wǎng)絡釣魚攻擊卻可以繞過MFA，企業(yè)用戶需密切注意。其具體的攻擊方法是，攻擊者利用VNC屏幕共享系，讓目標用戶直接在攻擊者控制的服務器上登錄其帳戶，因此可繞過MFA。

VNC成繞過MFA的關鍵

在為某公司進行滲透測試時，安全研究員mr.d0x試圖對員工發(fā)起釣魚攻擊，以便獲取登錄系統(tǒng)的賬戶密碼。但由于公司部署了MFA，常規(guī)的釣魚攻擊都被阻斷了。

mr.d0x表示，這是谷歌在2019年增加的一項新的安全功能，可阻止常用的“反向代理或中間人 (MiTM) 攻擊”，一旦檢測到此類攻擊后，MFA會發(fā)出相應的告警，并暫時停用該郵件賬戶。

對此，mr.d0x琢磨出一種新型的網(wǎng)絡釣魚攻擊技術，他利用noVNC 遠程訪問軟件和以 kiosk 模式運行的瀏覽器，來顯示在攻擊者服務器上運行，但在受害者瀏覽器中顯示的電子郵件登錄提示，順利繞過了MFA。

VNC 是一個遠程訪問軟件，允許遠程用戶連接并控制已登錄用戶的桌面。大多數(shù)人通過專用VNC客戶端連接到VNC服務器，這些客戶端以類似于 Windows 遠程桌面的方式運行。但是，noVNC程序卻允許用戶通過單擊鏈接直接從瀏覽器內(nèi)連接到VNC服務器，這就給了攻擊者繞過MFA的可能性。

mr.d0x表示，當用戶點擊了攻擊者發(fā)來的鏈接后，他們不會意識到自己已經(jīng)訪問了VNC服務器，而且由于之前將Firefox設置為kiosk模式，所以用戶看到的只是一個網(wǎng)頁。

通過這樣的方式，攻擊者可以發(fā)送針對性的魚叉式網(wǎng)絡釣魚電子郵件，其中包含自動啟動目標瀏覽器并登錄到攻擊者遠程VNC服務器的鏈接。

這些鏈接全部都是針對性定制，因此看起來往往不像可疑的VNC登錄URL的鏈接，如下所示：

Example[.]com/index.html?id=VNCPASSWORD
Example[.]com/auth/login?name=password

由于攻擊者的VNC服務器以kiosk模式運行瀏覽器，即以全屏模式運行瀏覽器，因此當目標用戶點擊鏈接時，他們只會看到目標電子郵件服務的登錄頁面并正常登錄。這意味著，用戶所有的登錄嘗試將直接發(fā)生在遠程服務器上。

而一旦用戶登錄了該賬戶，攻擊者可在用戶不知情的情況下，利用各種工具竊取賬號密碼和安全令牌。因此這種攻擊技術可以繞過MFA，用戶將會在攻擊者的服務器上輸入驗證密碼，授權設備進行下一次的登錄。

結語

如果此類攻擊僅針對少數(shù)人使用，那么攻擊者只需通過VNC會話登錄他們的電子郵件帳戶，就可以授權設備在未來順利登錄該帳戶。

由于VNC允許多人監(jiān)控同一個會話，那么攻擊者可以在帳戶登錄后斷開和目標用戶的會話，并在稍后連接到同一會話以訪問該帳戶及其所有電子郵件。

雖然這種攻擊方式尚未出現(xiàn)，但是mr.d0x卻表現(xiàn)出憂慮，他認為未來類似的攻擊方式很有可能會出現(xiàn)。因此企業(yè)和用戶應提前做好相應的應對措施，提高自己的警惕性，避免陷入郵件釣魚攻擊的陷進之中。

mr.d0x表示，不論釣魚郵件的攻擊方式如何變化，最有效的防護建議萬變不離其宗：不要點擊陌生郵件里的鏈接，不要下載陌生郵件里的文件，對于一切陌生的電子郵件保持懷疑的態(tài)度。

參考來源：

https://www.bleepingcomputer.com/news/security/devious-phishing-method-bypasses-mfa-using-remote-access-software/