超过1,200个网站使用MitM网络钓鱼工具包,使网络犯罪分子能够绕过2FA身份验证因子身份验证(2FA)安全代码,并允许网络犯罪分子绕过此身份验证。这些工具包也称为MitM(中间人)网络钓鱼工具包。近年来,在大型科技公司将2FA作为其客户的默认安全功能后,这些工具在网络犯罪黑社会中变得非常流行。2FA默认功能的开启,直接导致钓鱼者无法绕过2FA程序,窃取的凭据就变得毫无用处。至少自2017年以来,威胁行为者一直在采用新工具来应对账户安全方面的这一新技术趋势。威胁行为者开始通过窃取用户身份验证cookie来绕过2FA,这些cookie是在2FA过程完成后用户登录其帐户时创建的浏览器文件。通常,网络犯罪分子依靠一类称为“窃取程序”的恶意软件从他们试图感染的计算机中窃取这些身份验证cookie文件。还有一种特殊类型的盗窃不依赖于感染恶意软件的计算机,即盗窃是在文件从互联网服务提供商传输到用户计算机的过程中进行的。实时网络钓鱼与中间人网络钓鱼在过去几年中,网络犯罪分子一直在调整他们的老式网络钓鱼工具包,以通过两种主要方式绕过2FA程序。第一种称为“实时网络钓鱼”,要求网络钓鱼者在用户访问网络钓鱼网站时在网络面板前与用户实时互动。一旦用户在网络钓鱼站点上输入了他们的凭据,网络钓鱼者就会使用这些凭据在真实站点上对自己进行身份验证。当攻击者面临2FA挑战时,他只需按下一个按钮,提示用户输入实际的2FA代码(通过电子邮件、短信或身份验证应用程序接收),然后在真实站点上收集并输入2FA令牌,以在他们的系统和受害者的账户之间建立合法的连接。实时网络钓鱼工具通常用于破坏在线银行门户,其中用户登录会话最多活跃几分钟,并且每个重新身份验证请求都需要另一个2FA代码。因此,使用实时网络钓鱼的攻击者不会费心收集身份验证cookie,而是立即从帐户中窃取用户资金,然后擦除他们的访问权限。但是,电子邮件、社交媒体和游戏等类型的帐户具有更宽松的用户登录会话长度,并且它们创建的身份验证cookie有时有效期为数年。这使攻击者有更多时间以更稳定和不易察觉的方式访问帐户,甚至在用户不知情的情况下也是如此。此功能使不想参与分发信息窃取恶意软件的攻击者更愿意使用中间人网络钓鱼工具。攻击者使用反向代理通过网络钓鱼工具包在受害者、网络钓鱼站点和合法服务提供商之间转发流量。在MitM钓鱼站点上进行身份验证的用户实际上是登录到一个合法站点,但由于所有流量都经过反向代理系统,攻击者截取了身份验证cookie的副本,然后可以滥用或重定向该副本。销售。从某种意义上说,中间人网络钓鱼工具包是一种不需要人工干预的实时网络钓鱼工具包,因为一切都是通过反向代理自动完成的。具有讽刺意味的是,如今许多MitM网络钓鱼工具包都基于安全研究人员开发的工具,例如Evilginx、Muraena和Modlishka。MitM网络钓鱼工具包越来越受欢迎在上个月发表的一项研究中,石溪大学和安全公司PaloAltoNetworks的学者表示,他们分析了三种MitM网络钓鱼工具包的13个版本,并创建了通过其中一个工具的网络流量指纹。他们利用他们的研究开发了一种名为PHOCA的工具,该工具可以检测网络钓鱼站点是否正在使用反向代理,这是攻击者试图绕过2FA并收集身份验证cookie的标志。研究人员表示,PHOCA在2020年3月至2021年3月期间在网络安全社区报告的钓鱼站点URL中检测到1,220个使用MitM钓鱼工具包的站点。根据RiskIQ研究员YonathanKlijnsma提供的统计数据,大约有200个钓鱼站点运行反向代理从2018年底到2019年初,与最新数据相比,这个数字有明显增长。这表明像MitM这样的网络钓鱼工具包在网络犯罪生态系统中越来越受欢迎。此外,大多数这些工具包可供黑客免费下载并且易于运行。黑客论坛上有大量教程和协作请求,可帮助威胁行为者熟悉这项新技术。现在,随着2FA在在线服务中的应用越来越广泛,越来越多的威胁行为者将MitM技术整合到他们的网络钓鱼工具包中。这就是为什么需要首先开展此类相关研究的原因。有关该研究的更多信息,研究人员在上个月的ACMCCS2021安全会议上展示了他们的发现。报告PDF下载:《CapturingTransparentPhishing:AnalyzingandDetectingMITMPhishingToolkits》参考来源:https://therecord.media/more-than-1200-phishing-toolkits-capable-of-intercepting-2fa-detected-in-the-wild/?__cf_chl_jschl_tk__=D8m4gVZn8Sh79UDWl7Z9H5zaG6..xSrQ88XvSE8sKIo-1640833062-0-gaNycGzNCj0
