攻击者利用新方法绕过教育机构的多因素认证

研究人员警告，针对教育机构的攻击案例正在增加，攻击者利用Evilginx窃取会话Cookie，从而绕过多因素认证令牌的需求。

Evilginx是一个攻击者中间人钓鱼工具包，它位于用户和真实网站之间，中继真实的登录流程，使其一切看起来正常，同时捕获所需信息。由于它将用户的输入发送到真实服务，因此可以收集用户名、密码以及用户在完成MFA后获得的会话Cookie。

会话Cookie是网站用来在单次浏览会话中记住用户操作的临时文件，例如保持登录状态或保留购物车中的商品。它们存储在浏览器内存中，在用户关闭浏览器或注销时会自动删除，这使得它们比持久性Cookie的安全风险更低。但凭借有效的会话Cookie，攻击者可以保持会话活跃，并继续操作，仿佛他们就是用户本人。这在网络商店或银行网站上可能造成巨大损失。

攻击流程

攻击者向您发送一个看起来与例如银行登录页面、网络商店、您的电子邮件或公司单点登录页面完全相同的伪造页面链接。实际上，该页面是真实网站的实时代理。

在不知情的情况下，您照常输入用户名、密码和MFA代码。代理将这些信息中继到真实网站，网站授予访问权限并设置一个表明"该用户已通过身份验证"的会话Cookie。

但Evilginx不仅仅窃取您的登录凭据，它还捕获会话Cookie。攻击者可以重复使用该Cookie来冒充您，通常不会触发另一次MFA提示。

一旦进入内部，攻击者可以浏览您的电子邮件、更改安全设置、转移资金并窃取数据。并且由于会话Cookie表明您已经过验证，您可能不会看到另一次MFA挑战。他们会一直保持登录状态，直到会话过期或被撤销。

银行通常在此处增加额外检查。即使您已登录，在批准付款时，他们可能会要求输入另一个MFA代码。这称为升级认证。它通过为高风险操作（如转账或更改付款详细信息）增加障碍，有助于减少欺诈并符合强客户认证规则。

如何保持安全

由于Evilginx使用有效的TLS和实时内容代理真实网站，页面外观和行为都正确，这使得简单的"寻找锁形图标"建议和一些自动检查失效。

攻击者通常使用存活时间极短的链接，因此在任何人将其添加到阻止列表之前，这些链接就会再次消失。安全工具随后不得不依赖这些链接和网站在实时环境中的行为方式，但基于行为的检测永远不够完美，仍然可能漏掉一些攻击。

因此，您可以且应该采取以下措施来保持安全：

• 谨慎处理以异常方式到达的链接。在点击之前，请检查发件人并悬停查看目标地址。如有疑问，可以随时在移动设备上使用Malwarebytes Scam Guard来判断是否为诈骗。它将为您提供如何进行的可行建议。
• 使用包含网页组件的、最新的实时反恶意软件保护。
• 使用密码管理器。它只会在保存密码的确切域名上自动填充密码，因此通常拒绝在类似paypa1[.]com或micros0ft[.]com的钓鱼仿冒域名上执行此操作。但Evilginx更棘手，因为它位于您与真实网站通信的中间位置，因此这并不总是足够的。
• 在可能的情况下，使用具有钓鱼抵抗能力的MFA。通行密钥或硬件安全密钥将身份验证绑定到您的设备，能够抵抗此类重放攻击。
• 如果发现可疑情况，请撤销会话。注销所有会话并使用MFA重新登录。然后更改密码并审查账户恢复设置。

专业提示：Malwarebytes Browser Guard是一款免费的浏览器扩展，可以检测网站上的恶意行为。