標題：中間人(MitM)網絡釣魚攻擊的攻擊威力知多少

我們可能或多或少都知道一些如何避免網絡釣魚的方法，比如注意拼寫錯誤或其他會提醒我們詐騙者存在的錯誤。然而，這個建議只對傳統的網絡釣魚技術有幫助。中間人(MitM)網絡釣魚攻擊則表明攻擊者可以繞過傳統防禦。

MitM網絡釣魚攻擊是一種最先進的網絡釣魚攻擊類型，能夠攻擊雙因素身份驗證(2FA)，同時避免許多基於內容的網絡釣魚檢測引擎。 MitM攻擊不是顯示目標登錄頁面的欺騙版本，而是使用反向代理服務器將原始登錄頁面直接中繼到用戶的瀏覽器。

截至2022年11月，多起網絡釣魚攻擊使用MitM策略來攻擊商業電子郵件帳戶，並成功竊取組織的機密信息。有幾個流行的MitM網絡釣魚工具包，讓黑客只需點擊幾下即可輕鬆發起他們自己的MitM釣魚攻擊。

這些工具包不斷擴展其功能集，同時變得更加直觀和易於使用。許多人已經採用了複雜的偽裝技術，使他們能夠逃避傳統網絡釣魚檢測系統的檢測。因此，我們預計這些MitM網絡釣魚攻擊的流行率將在不久的將來繼續上升。

你可以通過高級URL過濾實時阻止MitM釣魚頁面，從而免受本文中討論的攻擊。

傳統的網絡釣魚攻擊釣魚攻擊的目的是建立一個虛假的登錄頁面，誘使用戶輸入登錄憑證。

在傳統的網絡釣魚攻擊中，攻擊者通常會創建自己的網絡釣魚頁面來模仿合法的登錄頁面。他們可能會將其託管在新創建的域上，破壞合法域並將其網絡釣魚頁面託管在該域上，或者使用現有的SaaS平台託管其網絡釣魚內容。

“網絡釣魚工具包”簡化了創建和部署網絡釣魚攻擊的過程，提供了一套標準程序或腳本，這樣即使是沒有經驗的攻擊者也可以發起自己的網絡釣魚攻擊。這些工具通常使用模板化的網頁，模仿目標公司的實際登錄頁面。基於web的網絡釣魚即服務(PhaaS)平台的攻擊服務則更進一步，如Caffeine(如圖1所示)和Robin Banks，通過提供易於使用的界面，允許攻擊者配置和部署網絡釣魚攻擊。

網絡釣魚即服務(PhaaS)平台Caffeine的主頁於2022年10月首次公佈

在傳統的網絡釣魚攻擊中，網絡釣魚頁面通常直接託管在惡意或受損的服務器上，且不一定是合法登錄頁面的完美副本。例如，如果攻擊者要創建一個模仿GitHub登錄的網絡釣魚頁面，他們可能不想重新創建圍繞核心登錄功能的所有其他功能，例如“忘記我的密碼”鏈接。

專家或細心的觀察者可能會注意到合法的GitHub登錄頁面和欺騙的釣魚頁面之間的細微差異，並意識到欺騙的頁面是非法的。下圖顯示了釣魚頁面與原始目標登錄頁面的不同之處。

類似地，基於內容的自動網絡釣魚預防引擎可能會注意到這些非法登錄頁麵包含可疑內容的跡象（例如斷開的鏈接或拼寫錯誤），並將其標記為可能的網絡釣魚網站。

左圖：網絡釣魚攻擊中使用的假冒Microsoft登錄頁面示例，右圖：截至2022年11月21日的原始Microsoft登錄頁面

即使有這些缺陷，這些網絡釣魚活動中的收件人數量之多意味著一些目標仍然可能成為這些攻擊的受害者。雙因素身份驗證（2FA），也稱為多因素身份驗證，已成為一種日益流行的添加額外安全層以防止成功的網絡釣魚攻擊的方式。

雙因素身份驗證實際應用的一個例子是，除了要求用戶名和密碼外，合法的登錄網站還要求額外的身份驗證形式，例如發送到用戶註冊電子郵件地址的一次性密碼(OTP)。即使攻擊者通過成功的釣魚攻擊獲得了受害者的用戶名和密碼，他們也無法以該用戶身份登錄，因為他們無法檢索在惡意登錄嘗試期間發送的OTP。

MitM網絡釣魚攻擊MitM網絡釣魚攻擊是一種繞過基於內容的防禦和雙因素身份驗證的新型網絡釣魚攻擊。與傳統的網絡釣魚攻擊不同，MitM攻擊顯示的是合法登錄頁面的獨立但虛假的版本，它向用戶顯示的內容與他們在合法登錄頁面上看到的內容完全相同。 MitM服務器沒有託管合法登錄頁面的副本，而是簡單地獲取合法站點上呈現的內容並將其轉發給最終用戶，如下圖所示。

換句話說，MitM服務器充當目標和合法登錄頁面之間的代理。當目標將其憑據輸入到代理頁面時，MitM服務器將憑據存儲起來，並將其轉發到合法的登錄頁面，從而成功登錄。從受害者的角度來看，一切看起來就像他們登錄到了合法頁面。

此外，這兩個連接(MitM服務器到合法站點，受害者到MitM服務器)都是通過HTTPS協議提供的，因此受害者將根據web瀏覽器地址欄中的掛鎖圖標看到連接是“安全的”。

MitM網絡釣魚攻擊的可視化表示

由於顯示給目標的內容與他們在合法登錄頁面上看到的內容完全相同，這種基於代理的方法使受害者更難從視覺上辨別出可疑的事情正在發生，並且使基於內容的網絡釣魚檢測引擎很難注意到任何可疑的事情。

MitM網絡釣魚攻擊就像通過隱藏得很好的鏡子觀看原畫。 MitM攻擊除了上述好處外，還有其他幾個好處。例如，如果用戶設置了雙因素身份驗證，這種基於代理的方法允許MitM服務器自動繞過這個雙因素身份驗證。 在MitM服務器將用戶名和密碼轉發到合法站點後，合法站點將按照其正常行為向其客戶端發送OTP。如果被欺騙，目標將在MitM網絡釣魚頁面中輸入一次性密碼。這允許MitM服務器將密碼中繼到合法站點，從而完全完成登錄嘗試。

此時，MitM服務器將從合法站點接收一個真實的會話cookie。這種持久的登錄允許受害者繼續正常瀏覽網站（儘管仍然通過攻擊者的web服務器），從而進一步保持網絡釣魚攻擊的合法性。

真實發生的MitM網絡釣魚攻擊在撰寫本文時，黑客可以使用幾個工具輕鬆地部署他們自己的MitM網絡釣魚攻擊。與傳統的釣魚套件類似，這些MitM釣魚套件提供了一組腳本，或者在某些情況下，甚至是圖形用戶界面（GUI），使攻擊者可以輕鬆配置和發起MitM釣魚攻擊。

接下來，我們將介紹一些流行的MitM釣魚工具包。這些工具包都採用了將原始登錄頁面傳遞給受害者瀏覽器的核心策略，但它們在實現細節和附加功能(例如，隱身和TLS證書生成)方面有所不同。 例如Evilginx2，生成唯一的標記化URL(又名“誘餌”)，必須直接訪問以顯示釣魚內容。對任何其他路徑的請求都會導致重定向到良性站點。

1.Evilginx2 ，2018年7月(2017年5月發布的第一個版本)首次發布，功能豐富的MitM釣魚工具包，具有易於使用的命令行界面。具有內置隱藏功能。生成URL中必須存在的唯一令牌（誘餌），此工具的命令行界面如下圖所示。

2.Modlishka ，2019年1月發布，自動化幾個配置步驟和攻擊後的操作，例如使用被盜的會話cookie啟動一個插入指令的Chrome實例。

3.Muraena，2019年5月發布，barebones MitM工具包。與其他自動創建TLS證書的工具包不同，Muraena要求攻擊者提供自己的證書。

4.EvilnoVNC，2022年9月發布，使用真實的web瀏覽器在攻擊服務器上渲染登錄頁面，並通過VNC將內容提供給受害者的瀏覽器。

5.EvilProxy，2022年9月發布，MitM網絡釣魚攻擊的網絡釣魚即服務平台。提供一個易於使用的GUI，攻擊者可以設置和管理他們自己的MitM網絡釣魚活動。

使用Evilginx2命令行界面來啟動和執行MitM釣魚攻擊的屏幕截圖

在今年之前，與MitM相關的策略已經被用來成功地模擬大型軟件組織，暴露數億用戶的個人數據，並從新興初創公司竊取數百萬美元。然而，這些攻擊並不一定使用網絡釣魚本身作為其主要攻擊載體。現在，基於MitM的網絡釣魚攻擊已經開始佔據中心位置。

2022年中MitM網絡釣魚活動2022年7月，微軟報告了一起使用Evilginx2竊取目標微軟證書的網絡釣魚活動。該活動向潛在受害者發送電子郵件，促使他們下載一個重要的附件。在打開附件並通過一系列重定向路由之後，受害者將到達如下圖所示的MitM釣魚頁面。在攻擊者成功攔截身份驗證cookie後，他們會登錄到受攻擊的Outlook帳戶，並不斷搜索與金融相關的電子郵件和附件，以尋找欺詐的機會。

MitM憑證竊取頁面，這是微軟在2022年7月報告的一部分

為了避免被發現，該活動使用了各種隱藏技術，以確保只有當受害者通過原始HTML附件導航到頁面時，釣魚內容才會加載。到微軟的威脅情報文章發表時，在幾個月的時間裡，已有超過10000個組織成為了這次活動的目標。

根據Palo Alto 網絡高級URL過濾日誌，他們的高級URL過濾服務早在2021年9月就已經開始阻止對攻擊者域上託管的標記化釣魚URL的網絡流量（例如login[.]mcrsfts-passwdupdate[.]com/HMxVQmxZ）。

2022年底MitM網絡釣魚活動2022年9月，另一個活動被發現使用MitM網絡釣魚策略竊取目標的GitHub登錄憑據。幾個域被用來模擬CircleCI登錄頁面，提示受害者使用GitHub憑據登錄。

ci[.]com.2022年9月GitHub釣魚活動的示例登錄頁面，點擊“登錄GitHub”，用戶會看到一個MitM憑證竊取頁面，它反映了GitHub的實際登錄頁面。

上圖中網頁鏈接到的MitM憑證竊取頁面，該網頁不託管在網絡釣魚服務器上，而是從GitHub本身轉發

對於已經設置了基於OTP的雙因素身份驗證的目標，MitM服務器還會提示他們輸入OTP，然後將其轉發到GitHub，從而允許成功登錄。從那裡，攻擊者將通過快速創建個人訪問令牌(pat)或將他們自己的SSH密鑰添加到受害者的帳戶來堅持他們的訪問權限。這樣，即使受害者更改了用戶名和密碼，攻擊者也可以繼續訪問被洩露的帳戶。

Dropbox在2022年11月成為MitM網絡釣魚攻擊的受害者，攻擊者可以攻擊並複制130個私人存儲庫。這表明，這些MitM網絡釣魚攻擊已經在實際活動中產生了重大影響。在Dropbox對這次攻擊的回應中，他們計劃將雙因素身份驗證協議從OTP轉移到WebAuthn，這是一種更能抵禦網絡釣魚的雙因素身份驗證形式。

最近幾週，Palo Alto 的高級URL過濾服務檢測到更多的MitM釣魚URL，像Microsoft 365這樣的企業登錄是主要目標。

-r-us[.]co[.]uk.Palo Alto 的高級URL過濾服務檢測到以Microsoft為目標的MitM網絡釣魚頁面

microsoftonlinesupport[.]cf.高級URL過濾服務檢測到的針對Microsoft 365的MitM網絡釣魚頁面

隨著MitM網絡釣魚工具包越來越受歡迎，並繼續擴展其功能集，MitM網絡釣魚攻擊的流行程度也會增加。事實上，Evilginx 3.0預計很快就將發布，同時還將提供如何成功執行MitM網絡釣魚攻擊的在線課程。

總結MitM網絡釣魚攻擊已經在現實世界中造成了嚴重破壞，隨著MitM網絡釣魚工具包的不斷普及，預計其流行程度將會上升。因此，對於各類組織來說，保護自己免受這類網絡釣魚攻擊變得越來越重要。

目前，終端用戶可以採取的保護自己免受MitM網絡釣魚攻擊的措施包括:

1.在輸入任何憑證之前驗證URL的有效性，例如，確保一個URL真的是“github[.]com”，而不是“github-impersonator[.]org”。

2.使用密碼管理器存儲和輸入憑據，如果你發現自己處於密碼管理器無法識別的網站上的MitM釣魚頁面，密碼管理器將在輸入憑據之前發出警告。

3.使用最先進的MFA方法，如硬件安全密鑰或網絡認證雙因素身份驗證。

4.使用高級URL過濾服務的用戶可以通過產品的內嵌網絡釣魚URL檢測(包括本文中提到的MitM網絡釣魚URL)免受MitM網絡釣魚攻擊。高級URL過濾會實時分析網絡流量，在攻擊到達目標之前阻止攻擊。這樣，即使MitM釣魚攻擊使用隱藏的URL(如Evilginx2的情況)，高級URL過濾也可以在憑證被盜之前阻止攻擊。