基于文本的双重身份验证被过度使用

重点要点

在1928年，亚历山大弗莱明偶然发现了青霉素，这为抗生素时代奠定了基础。抗生素彻底改变了医学，显著降低了死亡率，改善了外科手术结果，并有效控制传染病的爆发。随着抗生素的普遍使用，预期寿命大幅提高，但这些药物的过度使用和滥用导致抗生素耐药细菌的出现，这给现代医疗带来了重大挑战。

同样，基于文本的双因素身份验证2FA应运而生，以应对针对密码的攻击，例如暴力破解攻击、钓鱼和密码填充。基于文本的2FA，通常称为一次性密码OTP，通常涉及通过短信将一次性代码发送到用户的移动设备，用户必须将该代码与其密码一起输入以访问其账户。自2000年代早期推出短信服务以来，这种验证方式已被广泛使用，并被认为是安全的。然而，尽管基于文本的2FA简单且易于获取，其有效性却呈现出下降的迹象。与抗生素类似，基于文本的2FA的广泛使用使我们对这种方法形成了深度依赖，从而产生了虚假的安全感。

文本2FA“抗性”的初步迹象出现在黑客利用一种被称为“SIM交换”的方法进行身份验证欺诈时。SIM交换攻击是一种身份盗窃形式，攻击者说服移动运营商将受害者的手机号码转移到他们控制的SIM卡上。这通常是通过欺骗客户服务代表，使其相信攻击者是该手机号码的合法拥有者来完成的。一旦攻击者控制了受害者的手机号码，他们就可以拦截SMS短信，包括用于2FA的一次性代码。

虽然SIM交换在劫持受害者账户方面非常有效，但攻击手法相对复杂，需要黑客投入大量资源。为了实施此攻击，攻击者首先需要获取受害者的个人信息。掌握这些信息后，攻击者需要运用社交工程技巧来说服受害者的移动服务运营商将通话和短信路由到攻击者的手机，而不是受害者的手机。此外，攻击者还需要知道受害者的密码。

对于攻击者而言，SIM交换攻击并不可扩展，因为“投资回报”有限。换句话说，有时犯罪成本与收益并不成比例。最近出现了一种新型的“抗生素耐药菌”：显示叠加攻击。当一个钓鱼窗口覆盖在目标应用程序之上时，受害者并未意识到他们正在与一个假冒应用互动。受害者认为他们在与合法应用交互，实则却是错误的。

与SIM交换不同，此攻击不要求攻击者掌握受害者的任何信息。他们也不需要与移动运营商的客户服务互动，也无需事先知道受害者的密码。这使得这种攻击类型具有高度的可扩展性，且不需要和客户服务互动，减少了暴露风险。此外，与SIM交换不同，这种攻击是静默的，这意味着受害者和服务提供商在攻击发生前都没有任何迹象，直到为时已晚。即便是攻击成功后，用户和服务提供商也很难察觉到发生了显示叠加攻击。

在2022年1月，全球知名的加密货币交易所Cryptocom宣布，其483名用户遭受了黑客攻击，导致未经授权的加密货币提款总值达到3500万美元。Cryptocom的声明指出，“交易在用户未输入2FA身份验证的情况下被批准。”由于Cryptocom没有详细说明攻击的性质，我们只能推测其用户可能遭遇了中间人显示攻击。