黑客找到了绕过多重验证（MFA）的新方法 好贴，支持作者，去点赞一下！举报此贴为未成年，盗图，骗取红包或广告贴,奖励20个积分。

admin

作者：彼得·阿恩茨| 2025 年 12 月 3

研究人员警告称，攻击者使用 Evilginx 窃取教育机构会话 cookie 的案例正在增加，这使得攻击者可以绕过多因素身份验证 (MFA) 令牌的要求。

Evilginx 是一款中间人攻击工具包，它位于您和真实网站之间，会模拟真实的登录流程，使一切看起来都很正常，同时窃取所需信息。由于它会将您的输入发送到真实服务，因此可以收集您的用户名和密码，以及您完成多因素身份验证 (MFA) 后生成的会话 cookie。

会话 cookie 是网站用来记住您在单个浏览会话期间的操作（例如保持登录状态或将商品保留在购物车中）的临时文件。它们存储在浏览器内存中，并在用户关闭浏览器或注销时自动删除，因此与持久性 cookie 相比，它们的安全性风险较低。但是，如果攻击者拥有有效的会话 cookie，他们就可以保持会话有效，并像您一样继续浏览。这在网上商店或银行网站上可能会造成不小的损失。

攻击流程

攻击者会向您发送一个链接，指向一个虚假页面，该页面看起来与银行登录页面、网上商店或您的电子邮件或公司单点登录 (SSO) 页面完全相同。实际上，该页面是指向真实网站的实时代理。

由于不了解其中的区别，您像往常一样输入用户名、密码和多因素身份验证 (MFA) 代码。代理服务器会将这些信息转发给真正的网站，网站会授予访问权限并设置一个会话 cookie，表明“此用户已通过身份验证”。

但 Evilginx 不仅仅窃取您的登录信息，它还会捕获会话 cookie。攻击者可以重复使用该 cookie 来冒充您，而且通常不会触发额外的多因素身份验证 (MFA) 提示。

一旦入侵成功，攻击者就可以浏览您的电子邮件、更改安全设置、转移资金并窃取数据。而且由于会话 cookie 会显示您已通过验证，您可能不会看到其他多因素身份验证 (MFA) 验证。攻击者会一直保留在系统中，直到会话过期或被撤销。

银行通常会在这里增加额外的验证步骤。即使您已经登录，在您批准付款时，他们也可能会要求您输入另一个多因素身份验证 (MFA) 代码。这被称为“双重身份验证”。它通过增加转账或更改付款详情等高风险操作的验证步骤，有助于减少欺诈并符合强客户身份验证 (SCAA) 规则。

如何确保安全

由于 Evilginx 使用有效的 TLS 和实时内容代理真实网站，因此页面看起来和运行正常，从而绕过了简单的“查找挂锁”建议和一些自动检查。

攻击者通常使用生命周期极短的链接，这些链接会在任何人将其添加到阻止列表之前就消失。安全工具只能依赖这些链接和网站的实时行为，但基于行为的检测并非完美无缺，仍然可能漏掉一些攻击。

所以，为了确保安全，您可以而且应该做的是：

• 谨慎对待来路不明的链接。在确认发件人身份并将鼠标悬停在目标地址上之前，切勿点击。如有疑问，欢迎使用手机上的Malwarebytes Scam Guard来判断链接是否为诈骗。它会提供切实可行的建议，指导您如何应对。
• [/url]使用带有 Web 组件的最新[url=https://www.malwarebytes.com/]实时反恶意软件保护。
• 使用密码管理器。密码管理器只会自动填充保存密码的原始域名，因此通常不会自动填充类似 paypa1[.]com 或 micros0ft[.]com 的钓鱼域名。但 Evilginx 更棘手，因为它会在你与真实网站通信时处于中间位置，所以这种方法并不总是有效。
• 尽可能使用防钓鱼的多因素身份验证 (MFA)。将身份验证绑定到设备的密码密钥或硬件安全密钥可以抵御此类重放攻击。
• 如果发现任何可疑情况，请撤销会话。退出所有会话，然后使用多因素身份验证 (MFA) 重新登录。之后，更改密码并检查帐户恢复设置。