香港哪里买钓鱼工具(香港哪里买钓鱼工具划算)

最近有很多兄弟对香港哪里买钓鱼工具充满疑问。还有其他网友想搞清楚香港哪里买钓鱼工具划算。对此,壹贰信息网收集了相关的内容,希望能给你带来帮助。

研究人员发布了两种工具——Muraen和NecroBrowser。他们可以自动绕过2FA进行钓鱼攻击,大部分防御都抵挡不了。



渗透者和攻击者增加了一种新的武器,该工具可以绕过双因素身份验证(2FA) 自动化网络钓鱼攻击,这个过程不容易被发现和停止。这个工具使得这种攻击更容易部署,因此,组织应该相应地调整其反网络钓鱼培训。

这个新的工具包是上个月在阿姆斯特丹举行的黑客大会上发布的 (Hack in the Box) 上发布,过几天GitHub上发布。它有两个组成部分:一个叫做Muraena的透明反向代理和一个叫做NecroBrowser 的Docker容器(用于自动化无头设备Chromium实例)。

中间人攻击

大多数人都熟悉由虚假登录页面组成的传统网络钓鱼攻击,这些页面被攻击者控制web在服务器上,并且由与目标网站的名称相似的自定义域名提供。然而,这种静态攻击对使用双因素身份验证的在线服务无效,因为没有与合法网站的交互来触发一次性代码的生成。没有这些代码,攻击者无法使用网络钓鱼凭据登录。

为了绕过2FA,攻击者需要让他们的钓鱼网站充当代理,代表受害者将请求转发到合法网站,并实时返回。最终目标不仅仅是获取用户名和密码,而是真实网站用来关联登录帐户的活动会话令牌(也称为会话cookie)。通过连接这些会话cookie把它放在浏览器里,您可以直接访问与他们相关联的帐户,不需要认证。

这种基于代理的技术并不新鲜,人们总是知道他们的存在,但是实施这样的攻击需要技术知识,并且需要配置多个独立的工具,比如将NGINX web充当反向代理。工具准备好之后,攻击者需要窃取的会话cookie在过期前手动使用它们。此外,有些网站使用子资源完整性 (Subresource Integrity, SRI) 和内容安全策略 (Content Security Policy, CSP) 等等。防止制剂的技术,一些网站甚至根据标题屏蔽自动浏览器。

Muraena和NecroBrowser似乎破解了这些防御,并使大部分过程自动化。这意味着许多攻击者现在可以启动旁路2FA钓鱼攻击。这些工具是浏览器开发的框架项目 (Browser Exploitation Framework Project , BeEF) 的前核心开发者Michele Orru和Bettercap项目成员Giuseppe Trotta共同开发的。

Muraena和NecroBrowser它是如何工作的?

Muraena是用Go用编程语言写的,这意味着它可以用在任何Go在可用平台上编译和运行。一旦部署完成,攻击者可以配置他们的网络钓鱼域名,并为其获取合法证书——例如,通过非营利组织Let's Encrypt证书颁发机构。

该工具包包含一个充当反向代理的小web以及服务器和爬虫。爬行器可以自动确定哪些资源来自合法网站。代理在发送受害者的请求之前会对其进行重写。

爬行器将自动生成一个JSON配置文件,然后,您可以手动修改该文件,以绕过更复杂网站上的各种防御机制。软件包包括谷歌、GitHub和Dropbox的示例配置文件。

一旦受害者登录到一个地方Muraena支持的钓鱼网站,登录过程将与真实网站完全相同。该网站将要求用户输入他们的2FA验证码。当他们提供验证码并完成认证时,代理窃取了会话cookie。

会话令牌通常由浏览器存储在一个文件中,并在后续请求中提供服务。这种方法可以使网站在一段时间内自动为浏览器提供无密码登录(会话长度)对账户的访问。Muraena收集的会话可以自动cookie将其发送到第二个组件NecroBrowser,而NecroBrowser你可以立即开始滥用这些cookie。

NecroBrowser是可以通过的API微服务控制,配置完成后,您可以使用Docker在容器中运行Chromium无头实例执行操作。根据可用的服务器资源,攻击者可以同时生成数十或数百个这样的容器,每个容器都有一个从受害者那里窃取的会话cookie。

僵尸浏览器实例执行的操作可以完全自动化。例如,根据账户的类型,可以截图电子邮件、开始密码重置、将恶意密钥上传到GitHub或者给邮箱添加恶意转发地址。browser实例还可以用来收集社交网络上的联系人和朋友的信息,你甚至可以通过类似蠕虫的攻击向这些朋友发送钓鱼消息。

如何防止自动网络钓鱼攻击

不幸的是,很少有技术解决方案可以完全防止服务器端的这种网络钓鱼攻击。Muraena对…外观的描述SRI和CSP技术的作用是有限的,攻击者可以自动绕过它们。此外,该工具显示2FA并不是完美的解决方案。

然而,基于代理的网络钓鱼攻击不能突破一些2FA措施——那些支持普遍第二因素的 (Universal 2nd Factor, U2F) 标准的USB硬件令牌企业。这就是因为这些USB通过令牌浏览器建立与合法网站的加密认证连接,而不是通过攻击者的反向代理。同时,基于短信验证码或手机验证软件的解决方案容易受到攻击,因为受害者必须手动输入这些验证码,他们可能会在钓鱼网站上做这些事情。

另一个技术解决方案是为浏览器安装扩展,该扩展可以检查用户是否在正确的网站上输入了凭据。谷歌为Chrome开发了一个叫做Password Alert的扩展,当用户试图在任何不属于谷歌的网站上输入谷歌凭证时,它会发出警告。

训练用户提高警惕,确保他们在正确的域名和正确的网站上被认证是非常重要的。TLS/SSL而且有效证件的存在并不足以证明网站合法,因为现在人们可以很容易地免费获得证书,所以大部分钓鱼网站也可以用HTTPS。

天下数据是国内为数不多的拥有众多海外自建机房的新型IDC服务商,被业界公认为“中国IDC行业首选品牌”。

天下数据接近世界120几个国家顶级机房的直接合作,包括香港、美国、韩国、日本、台湾、新加坡、荷兰、法国、英国、德国、埃及、南非、巴西、印度、越南等国家和地区的服务器、云租赁服务,有需要请联系天下数据客服!

除了提供传统IDC产品外,天下数据其主要职责是为大中型企业提供更完善的服务、安全、满足个人需求的定制服务器解决方案,尤其是在直销方面、金融、视频、流媒体、游戏、电子商务/电子商务、区块链、快消、物联网、大数据和许多其他行业,为客户解决服务器租赁中遇到的各种问题。

版权声明:本文内容部分来源互联网用户自发贡献或其他公众平台,版权归原作者所有,内容仅供读者参考,如有侵权请联系我们,一经查实,本站将立刻删除,如若转载,请注明出处。

发表评论

登录 后才能评论

评论列表(0条)