據(jù)The Record 12月27日消息，研究人員發(fā)現(xiàn)1200個(gè)站點(diǎn)被部署網(wǎng)絡(luò)釣魚(yú)工具包，這些工具包能夠攔截雙因素身份驗(yàn)證 (2FA) 安全代碼，并允許網(wǎng)絡(luò)犯罪分子繞過(guò)這一身份驗(yàn)證。

這些工具包也稱為MitM(中間人)網(wǎng)絡(luò)釣魚(yú)工具包。近年來(lái)，主流科技公司為其客戶開(kāi)通2FA 默認(rèn)安全功能后，這些工具在網(wǎng)絡(luò)犯罪黑社會(huì)中變得非常流行。

2FA 默認(rèn)功能的開(kāi)通，直接導(dǎo)致了網(wǎng)絡(luò)釣魚(yú)者無(wú)法繞過(guò)2FA 程序，被盜的憑證變得毫無(wú)用處。

至少?gòu)?2017 年起，威脅行為者開(kāi)始采用新工具，用來(lái)應(yīng)對(duì)這種賬戶安全保護(hù)的新技術(shù)趨勢(shì)。威脅者開(kāi)始通過(guò)竊取通過(guò)用戶認(rèn)證的cookies來(lái)繞過(guò)2FA，這些cookies是用戶在2FA程序完成后登錄賬戶時(shí)創(chuàng)建的瀏覽器文件。

通常情況下，網(wǎng)絡(luò)犯罪分子依靠一類被稱為“信息竊取器”的惡意軟件，從他們?cè)O(shè)法感染的計(jì)算機(jī)中竊取這些身份驗(yàn)證 cookie 文件。

還有一種竊取特殊的竊取方式，那就是不依賴于受惡意軟件感染的計(jì)算機(jī)，即在文件從網(wǎng)絡(luò)服務(wù)提供商傳輸?shù)接脩粲?jì)算機(jī)的傳輸過(guò)程中實(shí)施偷竊。

實(shí)時(shí)網(wǎng)絡(luò)釣魚(yú) VS 中間人網(wǎng)絡(luò)釣魚(yú)

在過(guò)去的幾年里，網(wǎng)絡(luò)犯罪分子一直在不斷調(diào)整他們的舊式網(wǎng)絡(luò)釣魚(yú)工具包，以便繞過(guò) 2FA 程序，主要通過(guò)以下兩種方式。

第一種稱為“實(shí)時(shí)網(wǎng)絡(luò)釣魚(yú)”，當(dāng)用戶在訪問(wèn)釣魚(yú)網(wǎng)站時(shí)，需要釣魚(yú)者在Web 面板前與用戶進(jìn)行實(shí)時(shí)互動(dòng)。

一旦用戶在網(wǎng)絡(luò)釣魚(yú)站點(diǎn)上輸入他們的憑據(jù)，釣魚(yú)者就會(huì)使用這些憑據(jù)在真實(shí)站點(diǎn)上對(duì)自己進(jìn)行身份驗(yàn)證。

當(dāng)攻擊者面臨 2FA 挑戰(zhàn)時(shí)，他只需按下一個(gè)按鈕，提示用戶輸入實(shí)際的 2FA 代碼(通過(guò)電子郵件、短信或身份驗(yàn)證器應(yīng)用程序接收)，然后在真實(shí)站點(diǎn)上收集并輸入 2FA 令牌，以建立其系統(tǒng)與受害者帳戶之間的合法連接。

實(shí)時(shí)網(wǎng)絡(luò)釣魚(yú)工具一般用于入侵網(wǎng)絡(luò)銀行門(mén)戶，用戶登錄會(huì)話的活躍時(shí)間頂多也就幾分鐘，而且每次重新認(rèn)證請(qǐng)求都需要另一個(gè)2FA 代碼。

因此，使用實(shí)時(shí)網(wǎng)絡(luò)釣魚(yú)的攻擊者不會(huì)費(fèi)心收集身份驗(yàn)證 cookie，而是立即從帳戶中竊取用戶資金，然后擦除他們的訪問(wèn)痕跡。

然而，像電子郵件、社交媒體和游戲等類型賬戶，則有著更寬松的用戶登錄會(huì)話時(shí)長(zhǎng)，它們創(chuàng)建的認(rèn)證cookies有時(shí)會(huì)在幾年內(nèi)有效。

這為攻擊者預(yù)留出了更多的時(shí)間，甚至可以在用戶不知情的情況下，以一個(gè)更穩(wěn)定和不會(huì)被檢測(cè)的方式訪問(wèn)其賬戶。

這一特征，使得不想涉足分發(fā)信息竊取惡意軟件的攻擊者，更樂(lè)于使用中間人網(wǎng)絡(luò)釣魚(yú)工具。

攻擊者通過(guò)使用反向代理的釣魚(yú)工具包，在受害者、網(wǎng)絡(luò)釣魚(yú)站點(diǎn)和合法服務(wù)商之間轉(zhuǎn)發(fā)流量。

在MitM 網(wǎng)絡(luò)釣魚(yú)站點(diǎn)上進(jìn)行身份驗(yàn)證的用戶，實(shí)際上登錄到了一個(gè)合法站點(diǎn)，但由于所有流量都通過(guò)反向代理系統(tǒng)，攻擊者因此截獲了身份驗(yàn)證 cookie 的副本，繼而對(duì)該副本進(jìn)行濫用或轉(zhuǎn)售。

從某種意義上說(shuō)，中間人網(wǎng)絡(luò)釣魚(yú)工具包是不需要人工操作的實(shí)時(shí)網(wǎng)絡(luò)釣魚(yú)工具包，因?yàn)橐磺卸际峭ㄟ^(guò)反向代理自動(dòng)完成。

具有諷刺意味的是，現(xiàn)如今許多此類 MitM 網(wǎng)絡(luò)釣魚(yú)工具包，都基于安全研究人員開(kāi)發(fā)的工具，例如 Evilginx、 Muraena和 Modlishka。

MitM 網(wǎng)絡(luò)釣魚(yú)工具包越來(lái)越受歡迎

在上個(gè)月發(fā)表的一項(xiàng)研究中，來(lái)自石溪大學(xué)和安全公司 Palo Alto Networks 的學(xué)者表示，他們分析了這三個(gè) MitM 網(wǎng)絡(luò)釣魚(yú)工具包的 13 個(gè)版本，并為通過(guò)其中一個(gè)工具的網(wǎng)絡(luò)流量創(chuàng)建了指紋。

他們利用研究成果開(kāi)發(fā)了一種名為PHOCA的工具 ，該工具可以檢測(cè)網(wǎng)絡(luò)釣魚(yú)站點(diǎn)是否正在使用反向代理，這是攻擊者試圖繞過(guò) 2FA 并收集身份驗(yàn)證 cookie 的跡象。

研究人員表示，經(jīng) PHOCA 檢測(cè)發(fā)現(xiàn)，2020年3月至2021年3月期間，網(wǎng)絡(luò)安全社區(qū)報(bào)告為網(wǎng)絡(luò)釣魚(yú)站點(diǎn)的 URL中，發(fā)現(xiàn)1220個(gè)站點(diǎn)使用了 MitM 網(wǎng)絡(luò)釣魚(yú)工具包。

根據(jù) RiskIQ 研究員Yonathan Klijnsma 提供統(tǒng)計(jì)數(shù)據(jù)，2018年底至2019年初運(yùn)行反向代理的網(wǎng)絡(luò)釣魚(yú)站點(diǎn)大約200個(gè)，與最新數(shù)據(jù)相比，這一數(shù)字有了顯著增長(zhǎng)。

表明類似 MitM 網(wǎng)絡(luò)釣魚(yú)工具包在網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)中逐漸流行起來(lái)。

此外，這類工具包大多數(shù)黑客可以免費(fèi)下載，且易于運(yùn)行。黑客論壇上有大量的教程及協(xié)作請(qǐng)求，來(lái)幫助威脅者熟悉這種新技術(shù)。

目前，隨著 2FA 在在線服務(wù)中得到更廣泛的采用，越來(lái)越多的威脅者將 MitM 技術(shù)納入其釣魚(yú)工具包中。這也是為什么該類型相關(guān)研究需要先行。

關(guān)于這項(xiàng)研究的更多信息，研究人員上個(gè)月在 ACM CCS 2021 安全會(huì)議上展示了他們的研究成果。

報(bào)告PDF下載：“捕獲透明網(wǎng)絡(luò)釣魚(yú)：分析和檢測(cè) MITM 網(wǎng)絡(luò)釣魚(yú)工具包”

參考來(lái)源：

https://therecord.media/more-than-1200-phishing-toolkits-capable-of-intercepting-2fa-detected-in-the-wild/?__cf_chl_jschl_tk__=D8m4gVZn8Sh79UDWl7Z9H5zaG6..xSrQ88XvSE8sKIo-1640833062-0-gaNycGzNCj0