Фишинг «противник посередине» (AiTM)
Что такое Фишинг «противник посередине» (AiTM)?
Фишинг «противник посередине» (AiTM)Техника фишинга, при которой между жертвой и настоящей страницей входа размещается сервер обратного прокси для ретрансляции учётных данных и кражи сессионной cookie, выданной после аутентификации, что позволяет обойти большинство MFA.
Фишинг «противник посередине» (AiTM) — это техника кражи учётных данных и сессий, при которой злоумышленник размещает сервер обратного прокси между жертвой и легитимным сайтом. Вместо статической поддельной страницы прокси в реальном времени запрашивает настоящую страницу входа и ретранслирует каждый запрос и ответ, поэтому жертва видит подлинный сайт, проходит любую многофакторную аутентификацию и не замечает ничего необычного. По мере прохождения трафика прокси перехватывает имя пользователя, пароль и — что важнее всего — аутентифицированную сессионную cookie, которую сервер выдаёт после успешного MFA. Злоумышленник воспроизводит эту cookie, чтобы захватить сессию, не запрашивая второй фактор повторно. Поскольку этот приём обходит большинство MFA на основе одноразовых кодов и push-уведомлений, AiTM обычно реализуется через наборы вроде Evilginx, EvilProxy и Tycoon 2FA и нейтрализуется главным образом устойчивым к фишингу, привязанным к источнику MFA, например FIDO2.
● Примеры
- 01
В июле 2022 года Microsoft сообщила о крупномасштабной кампании AiTM-фишинга, нацеленной более чем на 10 000 организаций, которая проксировала страницы входа Office 365 и похищала сессионные cookie.
- 02
Открытые и коммерческие наборы, такие как Evilginx, EvilProxy и Tycoon 2FA, автоматизируют AiTM-фишинг, работая как прозрачные обратные прокси.
● Частые вопросы
Что такое Фишинг «противник посередине» (AiTM)?
Техника фишинга, при которой между жертвой и настоящей страницей входа размещается сервер обратного прокси для ретрансляции учётных данных и кражи сессионной cookie, выданной после аутентификации, что позволяет обойти большинство MFA. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Фишинг «противник посередине» (AiTM)?
Техника фишинга, при которой между жертвой и настоящей страницей входа размещается сервер обратного прокси для ретрансляции учётных данных и кражи сессионной cookie, выданной после аутентификации, что позволяет обойти большинство MFA.
Как работает Фишинг «противник посередине» (AiTM)?
Фишинг «противник посередине» (AiTM) — это техника кражи учётных данных и сессий, при которой злоумышленник размещает сервер обратного прокси между жертвой и легитимным сайтом. Вместо статической поддельной страницы прокси в реальном времени запрашивает настоящую страницу входа и ретранслирует каждый запрос и ответ, поэтому жертва видит подлинный сайт, проходит любую многофакторную аутентификацию и не замечает ничего необычного. По мере прохождения трафика прокси перехватывает имя пользователя, пароль и — что важнее всего — аутентифицированную сессионную cookie, которую сервер выдаёт после успешного MFA. Злоумышленник воспроизводит эту cookie, чтобы захватить сессию, не запрашивая второй фактор повторно. Поскольку этот приём обходит большинство MFA на основе одноразовых кодов и push-уведомлений, AiTM обычно реализуется через наборы вроде Evilginx, EvilProxy и Tycoon 2FA и нейтрализуется главным образом устойчивым к фишингу, привязанным к источнику MFA, например FIDO2.
Как защититься от Фишинг «противник посередине» (AiTM)?
Защита от Фишинг «противник посередине» (AiTM) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Фишинг «противник посередине» (AiTM)?
Распространённые альтернативные названия: AiTM-фишинг, Фишинг «человек посередине», Фишинг обхода MFA.
● Связанные термины
- attacks№ 919
Фишинг
Атака с применением социальной инженерии, при которой злоумышленник выдаёт себя за доверенную сторону, чтобы заставить жертву раскрыть учётные данные, перевести деньги или запустить вредоносное ПО.
- attacks№ 726
Атака «человек посередине» (MitM)
Атака, при которой злоумышленник тайно ретранслирует или изменяет сообщения между двумя сторонами, считающими, что они общаются напрямую.
- attacks№ 1131
Перехват сессии
Атака, при которой злоумышленник захватывает уже аутентифицированную сессию жертвы, похищая или подделывая её идентификатор и действуя как пользователь без его учётных данных.
- identity-access№ 920
Phishing-Resistant MFA
MFA methods that cryptographically bind authentication to the legitimate web origin — FIDO2/WebAuthn passkeys, smart cards, and Windows Hello — rendering AiTM proxy phishing, MFA fatigue, and OTP interception ineffective.
- network-security№ 1036
Обратный прокси
Сервер перед одним или несколькими бэкенд-сервисами, который принимает клиентские запросы от их имени и перенаправляет внутрь.
- identity-access№ 255
Сбор учётных данных
Массовый сбор имён пользователей, паролей, токенов и других секретов аутентификации, обычно для последующего захвата аккаунтов или перепродажи.