報導摘要

BleepingComputer.com的最新報導指出，即使是號稱「防釣魚」的身份驗證方法，如Passkey（基於FIDO2標準），也未能完全阻擋攻擊者的網路釣魚行為。攻擊者已開發出多種巧妙技術來規避這些先進的防護措施。其中最主要的策略是「降級攻擊」(Downgrade Attacks)，利用Evilginx等「中間人攻擊」(Attacker-in-the-Middle, AitM)釣魚工具包，誘騙用戶退回到較不安全的備用認證方式，例如備用驗證碼或傳統的用戶名/密碼登入。此外，報導還提及「設備代碼釣魚」(Device Code Phishing)，透過誘騙用戶在合法網站上輸入代碼來取得權限；「同意釣魚」(Consent Phishing)，讓用戶無意中授予惡意OAuth應用程式權限；以及「驗證釣魚」(Verification Phishing)和「應用程式專用密碼釣魚」(App-specific Password Phishing)等，均能繞過多因素認證(MFA)並獲得持續存取權限。攻擊者也頻繁鎖定未使用Passkey的本地帳戶，這些帳戶通常缺乏MFA保護，易成為竊取憑證攻擊的目標。

資安風險

防釣魚認證技術的出現旨在降低憑證被盜的風險，但攻擊者透過上述創新方法，仍能對這些技術構成嚴重威脅。主要資安風險包括：

1. 認證降級風險：攻擊者利用釣魚工具包劫持認證流程，迫使用戶降級使用較不安全的備用認證方法，從而繞過Passkey的安全優勢。這使得即使部署了高安全性的Passkey，仍存在被傳統憑證竊取的風險。
2. 多因素認證繞過：透過同意釣魚或應用程式專用密碼釣魚，攻擊者可以取得持續的存取權限，即使受害者更改密碼或啟用MFA，也無法阻止攻擊者的存取，因為這些方法授予的是應用程式層面的權限而非直接的用戶憑證。
3. 隱蔽性高：許多新型釣魚技術如設備代碼釣魚或同意釣魚，其流程看似合法，用戶難以察覺異常，導致攻擊更具隱蔽性，傳統安全監控難以有效偵測。
4. 身分攻擊面擴大：企業面臨眾多應用程式、各式認證流程和備用登入方式，這使得身分攻擊面極為廣闊。即使某些應用程式支援Passkey，其他應用程式可能仍依賴傳統或較弱的認證方式，形成安全短板。

安全影響

這些持續性的釣魚攻擊對個人和組織都會產生顯著的安全影響：

1. 數據洩露與經濟損失：憑證和存取權限被盜取後，攻擊者可以存取敏感數據、竊取財務訊息，導致直接的經濟損失和隱私洩露。
2. 系統入侵與業務中斷：攻擊者可能利用被盜的憑證或存取權限深入企業網路，對核心系統進行破壞，造成業務營運中斷。近期Snowflake和Jira的數據洩露事件就與此類帳戶入侵有關。
3. 法規遵循與聲譽損害：數據洩露和安全事件可能導致企業違反數據保護法規，面臨高額罰款，並嚴重損害企業聲譽和客戶信任。
4. 持續性威脅：惡意OAuth應用程式或應用程式專用密碼的存在，使得攻擊者可以獲得長期的、程序化的存取權限，即使在被發現後，也難以完全清除潛在威脅。

行動建議

為有效應對這些繞過防釣魚認證的威脅，組織和用戶應採取以下行動：

1. 優先部署Passkey並消除備用認證方式： 對於支援Passkey的帳戶，應盡可能移除所有其他備用認證方法，確保帳戶只能透過Passkey登入，以完全發揮其防釣魚特性。如果無法完全消除，則應實施嚴格的條件式存取策略，限制非Passkey認證的使用場景。
2. 加強員工資安意識培訓：持續對員工進行教育訓練，使其了解新型釣魚技術的運作方式，特別是涉及設備代碼、同意請求和應用程式專用密碼的騙局，強調點擊連結前務必仔細核對網址的必要性。
3. 實施零信任原則：假設任何網路流量和身分都不可信，對所有資源存取進行持續驗證和授權。透過強化的身分治理和存取控制，降低單點故障的風險。
4. 監控與審計身分攻擊面：組織應定期審計其所有應用程式的身分驗證配置，識別「幽靈登入」(ghost logins)、SSO/MFA配置漏洞以及高風險的OAuth整合，並利用如Push Security等專業工具來偵測和應對身份相關的攻擊。
5. 嚴格管理OAuth應用程式權限：定期審查所有已授予的第三方應用程式權限，移除不必要或高風險的OAuth應用程式存取。
6. 強化本地帳戶安全：對於暫時無法使用Passkey的本地帳戶，務必啟用並強制執行MFA，並使用複雜且獨特的密碼，同時監控這些帳戶的異常登入行為。

結論

儘管防釣魚認證技術如Passkey在提升網路安全方面取得了重大進展，但攻擊者仍在不斷演進其手法，試圖繞過這些保護。這份報導清晰地揭示了當前身分驗證領域面臨的挑戰：僅依賴單一技術是不夠的。組織必須採取多層次、全面的安全策略，從技術部署、員工培訓到持續監控，全面強化身份和存取管理。真正安全的未來，在於不僅部署最先進的認證技術，更在於建立一個全面審查、積極防禦且持續適應威脅變化的安全生態系統。