來自 Cisco Talos 的研究人員警告，現在的主要釣魚攻擊工具包仍然加入了多項功能，可以繞過多重身份驗證(MFA)。

像是 Tycoon 2FA 和 Evilproxy 等商業釣魚工具包透過使用反向代理來攔截身份驗證過程中的流量，以實施釣魚攻擊。

研究人員指出，「反向代理作為中介伺服器，接收客戶端的請求，然後轉發這些請求到實際的網頁伺服器。」他們表示，「為了繞過 MFA，攻擊者建立反向代理並正常發送釣魚訊息。

當受害者連接到攻擊者的反向代理時，攻擊者會將受害者的流量轉發到真實網站。從受害者的角度看，他們所連接的網站看起來是可信的，而且確實如此！受害者正在與合法網站互動。唯一對受害者可察覺的差異是網頁瀏覽器地址欄中的網站位置。」

如果使用者上當受騙，攻擊者就可以竊取他們的憑證和需要用來登錄目標網站的身份驗證 Cookie。

研究人員解釋說，「攻擊者透過插入到這個客戶端與伺服器的通訊中，能夠攔截從受害者發送到合法網站的使用者名稱和密碼。」他們補充，「這完成了攻擊的第一階段，並觸發了從合法網站發送回受害者的 MFA 請求。」

當期待的 MFA 請求被接收並批准後，身份驗證 Cookie 會透過攻擊者的代理伺服器返回給受害者，這時被攻擊者攔截。攻擊者現在擁有受害者的使用者名稱/密碼以及來自合法網站的身份驗證 Cookie。」

Talos 提到，商業釣魚工具包讓不具技術背景的威脅行為者輕鬆發動這些攻擊。

研究人員表示，「多虧了即時可用的 Phishing-as-a-Service (Phaas) 工具包，幾乎任何人都能進行這類釣魚攻擊而不需了解其底層的運作。」他們指出，「像 Tycoon 2FA、Rockstar 2FA、Evilproxy、Greatness、Mamba 2FA 等工具包在這方面不斷出現。隨著時間的推移，這些工具包的開發者已經添加了許多功能，使其更容易使用且更難以被檢測。」

雖然多重身份驗證仍然是重要的防禦層次，但使用者應該意識到它並非萬無一失。KnowBe4 提供給您的員工更好的能力，使他們每天都能做出更明智的安全決策。全球超過 70,000 個組織信賴 KnowBe4 的平臺來加強其安全文化並降低人為風險。