中间对手(AiTM)钓鱼
中间对手(AiTM)钓鱼 是什么?
中间对手(AiTM)钓鱼一种钓鱼技术,在受害者与真实登录页面之间放置反向代理服务器,用于转发凭据并窃取认证后的会话 Cookie,从而绕过大多数多因素认证。
中间对手(AiTM)钓鱼是一种窃取凭据和会话的技术,攻击者在受害者与合法网站之间插入一台反向代理服务器。代理不会提供静态的假页面,而是实时获取真实的登录页面,并转发每一次请求和响应,因此受害者看到的是真实站点,会完成任何多因素认证,且察觉不到异常。流量经过代理时,代理会截获用户名、密码,更关键的是截获服务器在 MFA 成功后签发的已认证会话 Cookie。攻击者重放该 Cookie 即可劫持会话,而无需再次提供第二因素。由于它能击败大多数基于一次性验证码和推送通知的 MFA,AiTM 通常通过 Evilginx、EvilProxy、Tycoon 2FA 等工具包实施,主要可通过 FIDO2 等抗钓鱼、绑定源(origin)的 MFA 来缓解。
● 示例
- 01
2022 年 7 月,微软报告了一起大规模 AiTM 钓鱼活动,该活动通过代理 Office 365 登录页面并窃取会话 Cookie,针对了一万多个组织。
- 02
Evilginx、EvilProxy、Tycoon 2FA 等开源及商业工具包通过充当透明反向代理来自动化 AiTM 钓鱼。
● 常见问题
中间对手(AiTM)钓鱼 是什么?
一种钓鱼技术,在受害者与真实登录页面之间放置反向代理服务器,用于转发凭据并窃取认证后的会话 Cookie,从而绕过大多数多因素认证。 它属于网络安全的 攻击与威胁 分类。
中间对手(AiTM)钓鱼 是什么意思?
一种钓鱼技术,在受害者与真实登录页面之间放置反向代理服务器,用于转发凭据并窃取认证后的会话 Cookie,从而绕过大多数多因素认证。
中间对手(AiTM)钓鱼 是如何工作的?
中间对手(AiTM)钓鱼是一种窃取凭据和会话的技术,攻击者在受害者与合法网站之间插入一台反向代理服务器。代理不会提供静态的假页面,而是实时获取真实的登录页面,并转发每一次请求和响应,因此受害者看到的是真实站点,会完成任何多因素认证,且察觉不到异常。流量经过代理时,代理会截获用户名、密码,更关键的是截获服务器在 MFA 成功后签发的已认证会话 Cookie。攻击者重放该 Cookie 即可劫持会话,而无需再次提供第二因素。由于它能击败大多数基于一次性验证码和推送通知的 MFA,AiTM 通常通过 Evilginx、EvilProxy、Tycoon 2FA 等工具包实施,主要可通过 FIDO2 等抗钓鱼、绑定源(origin)的 MFA 来缓解。
如何防御 中间对手(AiTM)钓鱼?
针对 中间对手(AiTM)钓鱼 的防御通常结合技术控制与运营实践,详见上方完整定义。
中间对手(AiTM)钓鱼 还有哪些其他名称?
常见的别称包括: AiTM 钓鱼, 中间人钓鱼, MFA 绕过钓鱼。
● 相关术语
- attacks№ 919
网络钓鱼
一种社会工程攻击,攻击者冒充可信方,诱骗受害者泄露凭据、转账或运行恶意软件。
- attacks№ 726
中间人攻击 (MitM)
攻击者在通信双方之间秘密转发或篡改消息,而双方均以为是在直接对话的一种攻击。
- attacks№ 1131
会话劫持
通过窃取或伪造会话标识符,接管受害者已认证的会话,使攻击者无需密码即可冒充其身份的攻击。
- identity-access№ 920
Phishing-Resistant MFA
MFA methods that cryptographically bind authentication to the legitimate web origin — FIDO2/WebAuthn passkeys, smart cards, and Windows Hello — rendering AiTM proxy phishing, MFA fatigue, and OTP interception ineffective.
- network-security№ 1036
反向代理
位于一个或多个后端服务之前的服务器,代为接收客户端请求并向后端转发。
- identity-access№ 255
凭据收集
大规模收集用户名、密码、令牌等身份验证机密的行为,通常用于后续账户接管或在黑市出售。
● 参见
- № 1000Quishing(二维码钓鱼)
- № 1371Wi-Fi 去认证攻击