| ID | Name |
|---|---|
| T1621.001 | 分布式代理节点请求洪泛 |
| T1621.002 | 地理邻近验证请求欺骗 |
| T1621.003 | MFA服务API链路劫持 |
地理邻近验证请求欺骗(Geolocation Proximity Verification Spoofing)是一种通过伪造请求地理属性提升MFA请求可信度的隐蔽攻击技术。攻击者通过关联目标用户的历史登录位置数据,动态选择与受害者常用地理位置相符的代理节点发起验证请求,利用IP地址地理属性与用户行为模式的时空关联性降低系统风险评分。该技术结合社会工程学策略,在请求元数据中注入符合目标用户活动规律的设备指纹、网络环境特征,使MFA推送通知在呈现地理位置信息时更具迷惑性。
该技术的匿迹机制建立在时空特征模拟与上下文环境适配双重策略之上。攻击者首先通过历史数据泄露或网络测绘获取目标用户的常用登录地域、接入网络等特征,构建地理行为画像。随后通过云服务商API动态调配与目标区域匹配的代理资源,确保请求源IP的地理属性与用户常规活动范围高度吻合。技术实现中引入基站定位伪造技术,在移动端验证场景下模拟真实设备的LAC/CellID信息,增强请求报文的位置可信度。同时采用设备指纹注入技术,在HTTP头中植入与目标用户终端匹配的User-Agent、屏幕分辨率等特征,使安全系统在进行请求上下文分析时难以发现异常。这种多维度的环境特征伪装显著降低了基于地理位置异常检测规则的有效性。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon