Os ataques de pesca que derrotam o MFA são muito mais fáceis do que nunca. Então, o que fazemos?
Tais ataques anti -mid se tornaram rapidamente comuns. Por exemplo, em 2022, um grupo o usou em uma série de ataques que roubaram mais 10.000 credenciais de 137 organizaçõesE entre outros, os provedores de verificação de rede levaram a um compromisso.
Uma empresa que foi direcionada na campanha de ataque, mas não violada, era um talento de nuvem de rede de suprimentos de conteúdo. A razão para isso foi o uso de MFA Web A qualidade dos serviços que o uso da WebAuthn é extremamente resistente a ataques anti -individuais, se não excepcionais. Existem dois motivos.
Primeiro de tudo, estamos vinculados pelo URL que eles confirmam. No exemplo acima, as credenciais funcionarão Apenas Sobre https://accounts.google.com. Se uma pessoa afetada tentar usar o certificado para fazer login em https: //accounts.google.com.evilproxy (.) Com, o login falhará a cada vez.
Além disso, uma verificação baseada em Webauthn deve estar próxima ou próxima do dispositivo que a vítima está usando para fazer login na conta. Isso ocorre porque as credenciais também estão vinculadas ao dispositivo afetado pelo segredo. Como essa verificação só pode estar no dispositivo afetado, é impossível para o oponente no meio usá -lo em um ataque de ataque ao seu dispositivo.
As organizações de finger emergiram como um dos problemas de segurança mais perturbadores que seus funcionários e seus clientes enfrentam. O MFA, na forma de uma senha oportuna, ou notificações tradicionais de push, certamente adiciona atrito ao processo de phishing, mas com esses ataques intermediários, os efeitos dessas formas de MFA estão aumentando.
O MFA baseado na Web vem de várias formas. Um dos exemplo mais comum de armazenamento em telefones, computador, yubaki ou dongle semelhante é o exemplo mais comum. Agora, milhares de sites oferecem suporte ao site e é mais fácil para a maioria dos usuários finais se registrar. Como uma nota suplementar, o MFA é baseado no U2F, que também impede o antecessor do WebAuthn, mesmo com sucesso, os ataques do meio na oposição, embora o último ofereça flexibilidade e segurança adicional.
