为了突破双因素验证(2FA)的防护机制,骇客采用中间人攻击(AiTM)网钓攻击套件的情况相当泛滥,最近出现新型态的工具包Tycoon 2FA,在短短半年内,已有骇客采行而滥用超过1千个网域,引起研究人员关注。
值得留意的是,这个套件采用多阶段攻击流程,其产生的钓鱼邮件不仅具有URL,也有出现QR Code的情况,这代表行动装置用户也可能是对方攻击的目标。
【攻击与威胁】
到了今年2月中旬,卖家提供新版Tycoon 2FA,并出现广泛使用的情况,开发者增强混淆的程度及防范侦测的能力,并改变网路通讯的模式,使其攻击行动变得更难发现。 研究人员指出,该套件采取多个阶段的攻击流程,骇客先是借由内含URL或QR Code的钓鱼邮件引诱收信人上当,接著透过图灵验证系统Cloudflare Turnstile排除机器人,然后将收信人导向冒牌微软登入网页及伪造的双因素验证流程,过程中骇客收集受害者的电子邮件信箱、密码,并透过WebSocket外流。