超过 1200 个能够拦截在野外检测到的 2FA 的网络钓鱼工具包

一组学者表示，他们发现了 1,200 多个部署在野外的网络钓鱼工具包，这些工具包能够拦截并允许网络犯罪分子绕过双因素身份验证 (2FA) 安全代码。

也称为 MitM（中间人）网络钓鱼工具包，在主要科技公司开始将 2FA 作为其用户的默认安全功能之后，这些工具近年来在网络犯罪黑社会中变得非常流行。

直接结果是，设法诱骗用户在网络钓鱼站点上输入凭据的威胁行为者发现被盗凭据变得毫无用处，因为他们无法绕过 2FA 程序。

为了应对这种帐户安全保护的新趋势，至少从 2017 年开始，威胁行为者开始采用新工具，允许他们通过窃取用户的身份验证 cookie 来绕过 2FA 2FA 流程完成后的帐户。

在大多数情况下，网络犯罪组织依靠一种称为“信息窃取者”的恶意软件类别从他们设法感染的计算机中窃取这些身份验证 cookie 文件。

然而，还有另一种不依赖于用恶意软件感染计算机的方式来窃取这些文件——即，通过在它们将互联网从服务提供商传输到用户计算机时窃取身份验证 cookie。

解释：实时网络钓鱼-vs-中间人网络钓鱼

在过去的几年里，网络犯罪分子一直在慢慢调整他们的旧网络钓鱼工具包来绕过 2FA 程序，主要是通过使用两种技术。

第一种称为“实时网络钓鱼”，它依赖于操作员坐在 Web 面板前，同时用户浏览网络钓鱼站点并与之交互。

这个想法是，一旦用户在网络钓鱼站点上输入他们的凭据，操作员就会使用这些凭据在真实站点上对自己进行身份验证。

当攻击者面临 2FA 挑战时，威胁参与者只需按下一个按钮，提示用户输入实际的 2FA 代码（通过电子邮件、短信或身份验证器应用程序接收），然后在真实站点上收集并输入 2FA 令牌，在他们的（攻击者）系统和受害者的帐户之间建立合法的连接。

通常，实时网络钓鱼工具用于入侵网络银行门户，其中用户登录会话的活跃时间不会超过几分钟，并且每个重新身份验证请求都需要另一个 2FA 代码。

使用实时网络钓鱼的攻击者不会费心收集身份验证 cookie——因为它们的生命周期很短——并且通常会立即从帐户中窃取用户资金，烧毁他们的访问权限。

但是，电子邮件提供商、社交媒体帐户、游戏服务等普通​​服务对用户登录会话有更宽松的规则，并且它们创建的身份验证 cookie 有时会有效多年。

一旦获得这些文件，即使所有者不知情，这些文件也可以使攻击者以更稳定且无法检测的方式访问帐户。

这就是中间人网络钓鱼工具包已被证明对一些不想涉足分发信息窃取恶意软件的威胁参与者有用的地方。

相反，他们使用适合用作反向代理的网络钓鱼工具包 ，在受害者 (1)、网络钓鱼站点 (2) 和合法服务 (3) 之间中继流量。

在 MitM 网络钓鱼站点上进行身份验证的用户实际上登录到了一个合法站点，但由于所有流量都通过反向代理系统，攻击者还拥有身份验证 cookie 的副本，然后他可以滥用或在专门的地下市场上转售到身份验证 cookie 的交易 。

图片：KONDRACKI 等人

在某种程度上，中间人网络钓鱼工具包是实时网络钓鱼工具包，但不需要人工操作，因为一切都是通过反向代理自动化的。

具有讽刺意味的是，今天，许多此类 MitM 网络钓鱼工具包都基于安全研究人员开发的工具，例如 Evilginx、  Muraena和 Modlishka。

MitM 网络钓鱼工具包越来越受欢迎

在上个月发表的一项研究中，来自石溪大学和安全公司 Palo Alto Networks 的学者表示，他们分析了这三个 MitM 网络钓鱼工具包的 13 个版本，并为通过其中一个工具的网络流量创建了指纹。

他们利用他们的发现开发了一种名为PHOCA的工具 ，该工具 可以检测网络钓鱼站点是否正在使用反向代理——这是攻击者试图绕过 2FA 并收集身份验证 cookie 而不仅仅是凭据的明显迹象。

研究人员表示，他们向 PHOCA 提供了 2020 年 3 月至 2021 年 3 月期间网络安全社区报告为网络钓鱼站点的 URL，发现其中 1,220 个站点使用了 MitM 网络钓鱼工具包。

根据RiskIQ已故研究员Yonathan Klijnsma当时提供给本报记者的统计数据，这一数字与2018年底和2019年初活跃的大约200个运行反向代理的网络钓鱼站点相比有了显着增长 。

这种上升表明这些工具以及一般的 MitM 网络钓鱼工具包在网络犯罪生态系统中逐渐流行起来。

他们这样做的一个原因还可能与以下事实有关：大多数都可以免费下载、易于运行，并且黑客论坛上有大量教程和协作请求，帮助威胁行为者熟悉了这项新技术。

随着 2FA 在在线服务中得到更广泛的采用，目前，所有迹象都表明，大多数网络钓鱼操作最终将在不久的将来某个时候发展为将中间人功能纳入其标准功能中。他们没有理由不这样做，这就是为什么首先进行这项研究的原因。

有关这项研究的更多信息，研究人员上个月在 ACM CCS 2021 安全会议上展示了他们的发现。