狡猾的 2FA 网络钓鱼工具包：对网络安全的危险威胁

双重身份验证 (2FA) 长期以来一直是保护用户帐户的可靠安全措施。然而，一种名为 Sneaky 2FA 的复杂网络钓鱼工具已经出现，它利用人们对安全措施的信任来攻击受 2FA 保护的帐户。该工具包于 2024 年底首次被发现，展示了网络钓鱼攻击的演变，凸显了对强大的在线安全实践的需求。

什么是卑鄙的 2FA 网络钓鱼工具包？

Sneaky 2FA 是一款先进的网络钓鱼即服务 (PhaaS) 工具，旨在窃取凭据和 2FA 代码，主要针对 Microsoft 365 帐户。该工具包由 Telegram 的“Sneaky Log”服务开发和销售，可让网络犯罪分子以最少的技术努力开展网络钓鱼活动。只需每月支付 200 美元，客户即可访问经过许可的、经过混淆的源代码版本，并可独立部署。

这种网络钓鱼工具在网络犯罪分子中越来越受欢迎，研究人员发现近 100 个域名托管着 Sneaky 2FA 网络钓鱼页面。网络钓鱼页面上的自动电子邮件地址输入等功能增强了其功能，使虚假的登录提示看起来更加合法。

隐秘的 2FA 背后的目的

Sneaky 2FA 的主要目的是获取登录凭据和 2FA 代码。有了这些信息，攻击者就可以绕过帐户安全措施，可能未经授权访问敏感数据或使用受感染的帐户执行进一步的攻击，例如商业电子邮件入侵 (BEC)。

为了引诱受害者，攻击者经常发送带有虚假付款收据的电子邮件，诱使收件人打开包含二维码的恶意 PDF 文件。扫描这些代码会将用户重定向到模仿合法 Microsoft 身份验证屏幕的钓鱼页面。

一个具有欺骗性和弹性的工具包

Sneaky 2FA 的独特之处在于其复杂的设计。钓鱼页面托管在受感染的 WordPress 网站或其他攻击者控制的域上，以确保广泛可用。为了逃避检测，该工具包采用了各种技术，包括：

• 流量过滤：确保只有目标用户才能到达窃取凭证的页面。
• Cloudflare Turnstile 挑战：帮助阻止机器人和自动化工具。
• 反分析功能：抵抗浏览器开发工具的审查。

此外，该工具包还将被识别为机器人、代理或 VPN 用户的用户重定向到合法的微软相关维基百科页面，进一步掩盖其活动。

其他网络钓鱼工具的链接

研究人员发现 Sneaky 2FA 与其他网络钓鱼工具包（例如与商业电子邮件入侵攻击相关的工具 W3LL Panel）有相似之处。Sneaky 2FA 的部分代码似乎源自早期工具，但其开发人员添加了独特的功能。

有趣的是，与 Evilginx2 和 Greatness 等旧网络钓鱼工具包相关的域名已被重新用于 Sneaky 2FA，这表明一些网络犯罪分子已经转向这项较新的服务。

隐蔽的 2FA 隐患

Sneaky 2FA 的出现凸显了网络钓鱼攻击的适应性及其潜在影响。通过针对受 2FA 保护的帐户，此工具破坏了最受信任的安全层之一。被盗用的帐户可能导致数据泄露、未经授权的交易以及受影响组织和个人的声誉受损。

此外，通过 PhaaS 模式提供此类工具降低了网络犯罪分子的进入门槛，即使是技术专长有限的人也可以发动复杂的攻击。

狡猾的 2FA 如何运作

Sneaky 2FA 的一个显著特点是它依赖中央服务器来验证客户的许可证状态。这种许可模式确保只有付费用户才能访问和使用该套件。钓鱼页面本身使用合法 Microsoft 界面的模糊图像，诱使用户认为它们是真实的登录屏幕。

该工具还集成了硬编码的用户代理字符串，这些字符串会在身份验证过程的不同阶段发生变化。这些字符串会模仿某些合法行为，但偏差足以帮助安全研究人员检测它们。

警惕网络钓鱼攻击

虽然卑鄙的 2FA 代表着一种高级威胁，但其成功的关键在于欺骗用户。识别网络钓鱼活动的迹象至关重要：

• 小心未经请求的电子邮件，尤其是那些包含与付款相关的主题或附件的电子邮件。
• 避免扫描来自未知来源的二维码。
• 在输入登录凭据之前验证 URL，确保它们属于合法网站。

组织还应教育员工了解网络钓鱼策略，并实施额外的安全措施，例如硬件安全密钥，以加强 2FA。

结论

Sneaky 2FA 等工具的兴起凸显了数字领域持续保持警惕的必要性。通过了解这些网络钓鱼工具包的运作方式并采取主动的安全措施，个人和组织可以更好地保护自己免受不断演变的威胁。虽然 2FA 仍然是一种重要的安全措施，但在打击网络犯罪的过程中，保持知情并适应新挑战至关重要。