众所周知，网络钓鱼攻击最有效的防护措施是，在电子邮件账户上部署多因素身份验证 (MFA)。

即便攻击者可以利用钓鱼网站获取登录账户和密码，如果有部署MFA，那么在登录账户时仍需要进行验证。正因为如此，MFA被视为防范网络钓鱼的有效方法，被企业广泛部署。

但是，安全研究人员发现，一种新型的网络钓鱼攻击却可以绕过MFA，企业用户需密切注意。其具体的攻击方法是，攻击者利用VNC屏幕共享系，让目标用户直接在攻击者控制的服务器上登录其帐户，因此可绕过MFA。

VNC成绕过MFA的关键

在为某公司进行渗透测试时，安全研究员mr.d0x试图对员工发起钓鱼攻击，以便获取登录系统的账户密码。但由于公司部署了MFA，常规的钓鱼攻击都被阻断了。

mr.d0x表示，这是谷歌在2019年增加的一项新的安全功能，可阻止常用的“反向代理或中间人 (MiTM) 攻击”，一旦检测到此类攻击后，MFA会发出相应的告警，并暂时停用该邮件账户。

对此，mr.d0x琢磨出一种新型的网络钓鱼攻击技术，他利用noVNC 远程访问软件和以 kiosk 模式运行的浏览器，来显示在攻击者服务器上运行，但在受害者浏览器中显示的电子邮件登录提示，顺利绕过了MFA。

VNC 是一个远程访问软件，允许远程用户连接并控制已登录用户的桌面。大多数人通过专用VNC客户端连接到VNC服务器，这些客户端以类似于 Windows 远程桌面的方式运行。但是，noVNC程序却允许用户通过单击链接直接从浏览器内连接到VNC服务器，这就给了攻击者绕过MFA的可能性。

mr.d0x表示，当用户点击了攻击者发来的链接后，他们不会意识到自己已经访问了VNC服务器，而且由于之前将Firefox设置为kiosk模式，所以用户看到的只是一个网页。

通过这样的方式，攻击者可以发送针对性的鱼叉式网络钓鱼电子邮件，其中包含自动启动目标浏览器并登录到攻击者远程VNC服务器的链接。

这些链接全部都是针对性定制，因此看起来往往不像可疑的VNC登录URL的链接，如下所示：

Example[.]com/index.html?id=VNCPASSWORD
Example[.]com/auth/login?name=password

由于攻击者的VNC服务器以kiosk模式运行浏览器，即以全屏模式运行浏览器，因此当目标用户点击链接时，他们只会看到目标电子邮件服务的登录页面并正常登录。这意味着，用户所有的登录尝试将直接发生在远程服务器上。

而一旦用户登录了该账户，攻击者可在用户不知情的情况下，利用各种工具窃取账号密码和安全令牌。因此这种攻击技术可以绕过MFA，用户将会在攻击者的服务器上输入验证密码，授权设备进行下一次的登录。

结语

如果此类攻击仅针对少数人使用，那么攻击者只需通过VNC会话登录他们的电子邮件帐户，就可以授权设备在未来顺利登录该帐户。

由于VNC允许多人监控同一个会话，那么攻击者可以在帐户登录后断开和目标用户的会话，并在稍后连接到同一会话以访问该帐户及其所有电子邮件。

虽然这种攻击方式尚未出现，但是mr.d0x却表现出忧虑，他认为未来类似的攻击方式很有可能会出现。因此企业和用户应提前做好相应的应对措施，提高自己的警惕性，避免陷入邮件钓鱼攻击的陷进之中。

mr.d0x表示，不论钓鱼邮件的攻击方式如何变化，最有效的防护建议万变不离其宗：不要点击陌生邮件里的链接，不要下载陌生邮件里的文件，对于一切陌生的电子邮件保持怀疑的态度。

参考来源：https://www.bleepingcomputer.com/news/security/devious-phishing-method-bypasses-mfa-using-remote-access-software/