为防范网络钓鱼攻击，在线平台提供商在其网站上实施双重身份验证流程。但现在，黑客可以更简单地绕过这种保护。已经开发了两种工具来自动化该过程并同时发动数百次攻击。

入侵测试人员和黑客能够在其软件库中添加一种自动化网络钓鱼攻击的方法，该方法可以阻止双重身份验证（2FA），并且不易检测和阻止。该工具包于上个月在阿姆斯特丹的Hack in the Box会议上发布，并在几天后在GitHub上发布。它有两个组件：一个名为Muraena的透明反向代理和一个名为NecroBrowser的Docker容器，用于自动化Headless Chromium实例。

传统的网络钓鱼攻击包括创建托管在攻击者控制的Web服务器上的虚假登录页面，其域名类似于目标网站的域名。但是，这种静态攻击对使用双重身份验证的在线服务无效。在这种情况下，确实没有与合法网站的交互来触发一次性代码的生成。如果没有这些代码，攻击者无法使用网络钓鱼凭据登录。

一种不是新的攻击，但更容易启动

要克服2FA，攻击者必须确保其网络钓鱼网站充当代理服务器，代表受害者将请求转发到合法网站并为其提供实时响应。最终目标不仅仅是获取用户名和密码，还包括现实世界网站与关联帐户关联的会话cookie。这些可以放在浏览器中，直接访问与之关联的帐户，而无需进行身份验证。

这种代理技术并不是新技术，并且已为人所知很长时间，但设置此类攻击需要技术知识，并且需要配置多个独立工具（如NGINX Web服务器）作为反向代理。然后，攻击者必须在过期之前手动泄露被盗会话cookie。此外，一些网站使用子资源完整性（SRI）和内容安全策略（CSP）等技术来防止“代理”，有些网站甚至会阻止基于标头的自动浏览器。

Go下的网络钓鱼站点创建工具

创建Muraena和NecroBrowser是为了打败这些保护措施并使大部分过程自动化。这意味着更多攻击者现在可以发起可以覆盖2FA的网络钓鱼攻击。这些工具是由浏览器开发框架项目（BeEF）的前开发人员Michele Orru和Bettercap项目成员Giuseppe Trotta创建的。

Muraena是用Go编程语言编写的，这意味着它可以在Go可用的任何平台上编译和运行。部署后，攻击者可以配置其网络钓鱼域并为其获取合法证书，例如使用Let的加密证书颁发机构。该工具包含一个充当反向代理的最小Web服务器和一个自动确定合法网站的代理资源的爬网程序。代理在传输之前透明地重写从受害者收到的请求。爬网程序会自动生成JSON配置文件，然后可以手动编辑该文件以绕过更复杂的Web站点上的各种防御。

一旦受害者登陆由Muraena提供支持的钓鱼网站，登录过程就像真实的网站一样。系统会提示用户输入其2FA代码。一旦他提供并且身份验证完成，代理就会窃取会话cookie。后者通常由浏览器存储在文件中，并在后续请求期间提供。这允许网站自动为该浏览器提供访问帐户一段时间- 会话持续时间- 而无需再次请求登录密码。Muraena可以自动将收集的会话cookie转发到其第二个组件NecroBrowser，它可以立即开始泄露它们。

同时生成数百个容器

NecroBrowser是一种微服务，可通过API进行控制，并配置为通过在Docker容器中运行的Chromium Headless实例执行操作。根据服务器上可用的资源，攻击者可以同时生成数十个或数百个这样的容器，每个容器都会从受害者身上窃取会话cookie。

僵尸浏览器实例执行的操作可以完全自动化。例如，根据帐户类型，它可能意味着截取电子邮件，启动密码重置，将恶意密钥上传到GitHub或向邮箱添加恶意地址。浏览器实例还可用于收集社交网络上的联系人和朋友信息，甚至可以在蠕虫攻击中向这些朋友发送网络钓鱼邮件。

解决方案很少

不幸的是，很少有技术解决方案完全阻止此类服务器端网络钓鱼攻击。Muraena的开发表明SRI和CSP等技术效果有限，可以绕过自动化。此外，该工具显示2FA不是万无一失的解决方案。

这种类型的代理网络钓鱼无法阻止某些2FA实施。使用USB硬件令牌的用户支持通用第二因子（U2F）标准。这是因为这些USB令牌通过浏览器建立了与合法网站的加密验证连接，该浏览器不通过攻击者的反向代理。此外，由SMS接收或由移动认证应用程序生成的基于代码的解决方案易受攻击，因为受害者必须手动输入。

警惕是必须的