超过 1200 个能够拦截在野外检测到的 2FA 的网络钓鱼工具包

超过 1200 个能够拦截在野外检测到的 2FA 的网络钓鱼工具包。

####################

免责声明：工具本身并无好坏，希望大家以遵守《网络安全法》相关法律为前提来使用该工具，支持研究学习，切勿用于非法犯罪活动，对于恶意使用该工具造成的损失，和本人及开发者无关。

####################

在这里插入图片描述

一组学者表示，他们发现了 1,200 多个部署在野外的网络钓鱼工具包，这些工具包能够拦截并允许网络犯罪分子绕过双因素身份验证 (2FA) 安全代码。

也称为 MitM（中间人）网络钓鱼工具包，在主要科技公司开始将 2FA 作为其用户的默认安全功能之后，这些工具近年来在网络犯罪黑社会中变得非常流行。

直接结果是，设法诱骗用户在网络钓鱼站点上输入凭据的威胁行为者发现被盗凭据变得毫无用处，因为他们无法绕过 2FA 程序。

为了应对这种帐户安全保护的新趋势，至少从 2017 年开始，威胁行为者开始采用新工具，允许他们通过窃取用户的身份验证 cookie 来绕过 2FA 2FA 流程完成后的帐户。

在大多数情况下，网络犯罪组织依靠一种称为“信息窃取者”的恶意软件类别从他们设法感染的计算机中窃取这些身份验证 cookie 文件。

然而，还有另一种不依赖于用恶意软件感染计算机的方式来窃取这些文件——即，通过在它们将互联网从服务提供商传输到用户计算机时窃取身份验证 cookie。

解释：实时网络钓鱼-vs-中间人网络钓鱼
在过去的几年里，网络犯罪分子一直在慢慢调整他们的旧网络钓鱼工具包来绕过 2FA 程序，主要是通过使用两种技术。

第一种称为“实时网络钓鱼”，它依赖于操作员坐在 Web 面板前，同时用户浏览网络钓鱼站点并与之交互。

这个想法是，一旦用户在网络钓鱼站点上输入他们的凭据，操作员就会使用这些凭据在真实站点上对自己进行身份验证。

当攻击者面临 2FA 挑战时，威胁参与者只需按下一个按钮，提示用户输入实际的 2FA 代码（通过电子邮件、短信或身份验证器应用程序接收），然后在真实站点上收集并输入 2FA 令牌，在他们的（攻击者）系统和受害者的帐户之间建立合法的连接。

在这里插入图片描述
通常，实时网络钓鱼工具用于入侵网络银行门户，其中用户登录会话的活跃时间不会超过几分钟，并且每个重新身份验证请求都需要另一个 2FA 代码。

使用实时网络钓鱼的攻击者不会费心收集身份验证 cookie——因为它们的生命周期很短——并且通常会立即从帐户中窃取用户资金，烧毁他们的访问权限。

但是，电子邮件提供商、社交媒体帐户、游戏服务等普通服务对用户登录会话有更宽松的规则，并且它们创建的身份验证 cookie 有时会有效多年。

一旦获得这些文件，即使所有者不知情，这些文件也可以使攻击者以更稳定且无法检测的方式访问帐户。

这就是中间人网络钓鱼工具包已被证明对一些不想涉足分发信息窃取恶意软件的威胁参与者有用的地方。

相反，他们使用适合用作反向代理的网络钓鱼工具包，在受害者 (1)、网络钓鱼站点 (2) 和合法服务 (3) 之间中继流量。

在 MitM 网络钓鱼站点上进行身份验证的用户实际上登录到了一个合法站点，但由于所有流量都通过反向代理系统，攻击者还拥有身份验证 cookie 的副本，然后他可以滥用或在专门的地下市场上转售到身份验证 cookie 的交易。

在这里插入图片描述

在某种程度上，中间人网络钓鱼工具包是实时网络钓鱼工具包，但不需要人工操作，因为一切都是通过反向代理自动化的。

具有讽刺意味的是，今天，许多此类 MitM 网络钓鱼工具包都基于安全研究人员开发的工具，例如 Evilginx、 Muraena和 Modlishka。

MitM 网络钓鱼工具包越来越受欢迎
在上个月发表的一项研究中，来自石溪大学和安全公司 Palo Alto Networks 的学者表示，他们分析了这三个 MitM 网络钓鱼工具包的 13 个版本，并为通过其中一个工具的网络流量创建了指纹。

他们利用他们的发现开发了一种名为PHOCA的工具，该工具可以检测网络钓鱼站点是否正在使用反向代理——这是攻击者试图绕过 2FA 并收集身份验证 cookie 而不仅仅是凭据的明显迹象。

研究人员表示，他们向 PHOCA 提供了 2020 年 3 月至 2021 年 3 月期间网络安全社区报告为网络钓鱼站点的 URL，发现其中 1,220 个站点使用了 MitM 网络钓鱼工具包。

根据RiskIQ已故研究员Yonathan Klijnsma当时提供给本报记者的统计数据，这一数字与2018年底和2019年初活跃的大约200个运行反向代理的网络钓鱼站点相比有了显着增长。

这种上升表明这些工具以及一般的 MitM 网络钓鱼工具包在网络犯罪生态系统中逐渐流行起来。

他们这样做的一个原因还可能与以下事实有关：大多数都可以免费下载、易于运行，并且黑客论坛上有大量教程和协作请求，帮助威胁行为者熟悉了这项新技术。

在这里插入图片描述

随着 2FA 在在线服务中得到更广泛的采用，目前，所有迹象都表明，大多数网络钓鱼操作最终将在不久的将来某个时候发展为将中间人功能纳入其标准功能中。他们没有理由不这样做，这就是为什么首先进行这项研究的原因。

网络钓鱼（Phishing）是一种常见的社会工程学攻击手段，攻击者通过伪装成可信任的实体，诱骗用户提供敏感信息，如用户名、密码、信用卡详情等。在黑客攻防中，了解和识别网络钓鱼工具和开源项目对于防御这类攻击至关重要。以下是一些网络钓鱼工具和开源项目的介绍：

1. BeEF（Browser Exploitation Framework）

描述：
BeEF是一个开源的安全测试框架，用于浏览器端的漏洞利用和钓鱼攻击。它可以帮助渗透测试者了解和演示浏览器安全问题。

功能：

浏览器利用：通过已知的浏览器漏洞执行攻击。
钓鱼模块：模拟真实的钓鱼攻击，包括电子邮件、社交媒体等。
钩子（Hook）：在受害者的浏览器中执行JavaScript代码，与其交互。
报告生成：生成详细的攻击报告和统计数据。

2. SET（Social Engineer Toolkit）

描述：
SET是一个由渗透测试者和安全研究人员使用的集成工具包，用于创建和执行各种社会工程学攻击，包括钓鱼攻击。

功能：

网站克隆：克隆真实的网站，用于钓鱼攻击。
电子邮件模板：提供多种电子邮件模板，用于构建钓鱼邮件。
恶意USB：创建带有恶意载荷的USB启动盘。
攻击向量：支持多种攻击向量，如电子邮件、即时消息、水坑攻击等。

3. PhishingFrenzy

描述：
PhishingFrenzy是一个自动化的钓鱼工具，用于快速部署钓鱼服务器和生成钓鱼页面。

功能：

快速部署：一键部署钓鱼服务器。
自定义模板：支持自定义HTML模板，创建逼真的钓鱼页面。
多语言支持：支持多种语言，适应不同的目标用户。
持久化会话：通过cookies保持用户会话，提高攻击成功率。

4. Koadic（基于Python的自动化钓鱼工具）

描述：
Koadic是一个基于Python的自动化钓鱼工具，用于生成钓鱼页面和电子邮件。

功能：

钓鱼页面生成：自动化生成各种钓鱼页面，如登录表单、支付页面等。
电子邮件生成：创建带有钓鱼链接的电子邮件。
多模板支持：支持多种预定义模板，易于自定义。
统计跟踪：跟踪钓鱼攻击的成功率和受害者信息。

5. Black Widow

描述：
Black Widow是一个用于创建和管理钓鱼网站的开源工具。

功能：

网站模板：提供多种网站模板，用于创建钓鱼网站。
钓鱼邮件生成：生成带有钓鱼链接的电子邮件。
会话管理：管理受害者的会话，收集凭据。
多用户支持：支持多用户操作，便于团队协作。

6. SpearPhishing Framework

描述：
SpearPhishing Framework是一个用于执行目标化钓鱼攻击的框架。

功能：

目标信息收集：收集目标用户的个人信息，用于定制钓鱼攻击。
定制钓鱼邮件：根据目标用户的背景定制钓鱼邮件。
攻击执行：执行钓鱼攻击，跟踪和收集结果。
模块化设计：模块化的设计允许添加新的功能和攻击向量。

7. Email Spoofing Tools

描述：
电子邮件欺骗工具用于伪造电子邮件的发件人地址，使其看起来像是来自可信任的发送者。

功能：

邮件头伪造：修改电子邮件的头部信息，包括发件人地址。
SMTP服务器利用：利用开放的SMTP服务器发送伪造邮件。
邮件内容定制：创建具有说服力的邮件内容，诱骗受害者点击链接或提供信息。

8. PhishTank

描述：
PhishTank是一个在线服务，提供钓鱼网站的实时数据库，帮助用户识别和报告钓鱼攻击。

功能：

钓鱼网站数据库：收集和共享已知的钓鱼网站信息。
社区驱动：用户可以报告新的钓鱼网站，共同打击网络钓鱼。
安全意识教育：提供教育资源，提高用户的安全意识。

9. TheHarvester

描述：
TheHarvester是一个信息收集工具，用于收集电子邮件地址、域名、虚拟主机等信息，常用于钓鱼攻击的准备阶段。

功能：

电子邮件地址收集：从搜索引擎、社交媒体等来源收集电子邮件地址。
域名枚举：枚举目标组织的域名信息。
虚拟主机发现：发现目标服务器上的虚拟主机信息。

10. MailTester

描述：
MailTester是一个在线服务，用于测试电子邮件的安全性，包括钓鱼邮件的检测。

功能：

邮件分析：分析电子邮件的头部和内容，检测钓鱼特征。
链接检查：检查邮件中的链接是否指向可疑的网站。
报告生成：提供详细的邮件安全报告。

结论

网络钓鱼是一个严重威胁网络安全的问题，了解和识别这些钓鱼工具和开源项目对于防御钓鱼攻击至关重要。安全专家和渗透测试者使用这些工具来测试和加强组织的网络安全防御。同时，攻击者可能利用这些工具进行非法活动。因此，了解这些工具的工作原理和特点，可以帮助组织和个人更好地识别和防范钓鱼攻击。此外，提高用户的安全意识，教育他们如何识别钓鱼邮件和网站，也是防御钓鱼攻击的重要措施。